Verantwoordingsplicht voor organisaties
Iedere organisatie verwerkt persoonsgegevens en daarom moet zij verantwoording kunnen afleggen over de wijze waarop de data wordt verwerkt en beschermt. Of je nu Gegevensverantwoordelijke bent of Verwerker zoals in ons geval. Onze klanten vertrouwen de Moodle hosting toe aan Avetica en momenteel gaat dat om zo’n 700.000 gebruikers in alle leeromgevingen. Dan moet je je certificeringen en processen goed op orde hebben.
De Autoriteit Persoonsgegevens (AP) kan elke organisatie verplichten om verantwoording af te leggen over de gegevensverwerkingen. De AP zegt het volgende over de verantwoordingsplicht:
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
Inzicht in privacy processen
In 2019 heeft Avetica een privacy raamwerk met 92 interne beheersingsmaatregelen opgezet en geïmplementeerd. Door een onafhankelijke Register EDP-auditor is daar een ISAE-3000 type II rapportage van opgesteld. De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. Nu is over de controleperiode 2021 vastgesteld dat dit privacy raamwerk bij Avetica nog steeds goed geïmplementeerd is en werkt.
Met de ISAE-3000 rapportage geeft Avetica het management en de Functionaris Gegevensbescherming van onze klanten inzicht in onze processen. Daarmee heeft een klant een middel in handen om de privacy processen op elkaar te laten aansluiten. Bedenk dat als wij de Moodle hosting verzorgen, onze klanten nog steeds de eindverantwoordelijkheid hebben. Je kunt als organisatie niet alleen vermelden dat je datacenter ISO 27001 gecertificeerd is. De hele keten moet aantoonbaar voldoen aan de AVG, dus ook de Moodle dienstverlener die je inhuurt.
Onafhankelijke audits
Jouw organisatie moet ‘accountable’ zijn en als Gegegevensverantwoordelijke moet je bij elke Verwerker een onafhankelijke audit laten uitvoeren om dit aan te tonen. Dit kan een hele dure grap worden voor organisaties. Onze ISAE-3000 type II rapportage voorkomt dat elke klant een onafhankelijke audit moet laten uitvoeren bij Avetica en bespaart dus kosten. Al onze (potentiële) klanten mogen deze rapportage bij ons opvragen.
Premium Moodle Partner
Premium partner zijn van Moodle betekent voor Avetica ook kwaliteit leveren op de domeinen van veiligheid en privacy. Ook daarom vertrouwen onze klanten de hosting van Moodle aan ons toe.
Je moet ingelogd zijn om een reactie te plaatsen.