Wat het kader vereist
Artikel 32 — beveiliging van de verwerking
Verwerkingsverantwoordelijken en verwerkers treffen passende maatregelen, rekening houdend met de stand van de techniek, de implementatiekosten en de aard, omvang, context en doeleinden van de verwerking. Het artikel noemt expliciet pseudonimisering, encryptie, vertrouwelijkheid, integriteit, beschikbaarheid, veerkracht en het vermogen om data te herstellen en de effectiviteit periodiek te testen.
Artikel 28 — verwerkersrelaties
Wanneer de operator een beveiligingsleverancier inschakelt als verwerker, wordt de relatie geregeld door een schriftelijke overeenkomst of andere rechtshandeling die de verwerker bindt aan de verwerkingsverantwoordelijke, met onderwerp, duur, aard en doel van de verwerking, categorieën persoonsgegevens, betrokkenen en de verplichtingen en rechten van de verwerkingsverantwoordelijke.
CCTV, bezoekerslogs en screening
Elk is verwerking van persoonsgegevens met een eigen gerechtvaardigd-belang-toets, bewaartermijn en informatieplicht. Leveranciers begrijpen onder welke verwerkingsverantwoordelijke zij opereren en nemen de informatie- en bewaarregels van de verantwoordelijke over.
Hoe onze diensten aansluiten op compliance
- Gedocumenteerd verwerkersbeheer. Standaard verwerkersovereenkomsten, sub-verwerkerslijsten en incident-notificatieafspraken afgestemd op artikel 28 — geproduceerd als onderdeel van elke opdracht, niet achteraf.
- CCTV- en bezoekerslog-afhandeling. Beveiligingsoperaties zijn ontworpen rond het bewaar- en informatieregime van de verwerkingsverantwoordelijke — bezoekerslogvelden, CCTV-bewaring en deling van incidentregisters volgen de gedocumenteerde regels van de verantwoordelijke.
- Achtergrondonderzoek onder de AVG. Pre-employment screening en due-diligence-werk loopt onder gedocumenteerde rechtsgronden, met dataminimalisatie, bewaartermijnen en betrokkene-communicatie die voldoen aan de AVG.