Blog
HomePrivacyBewerkersovereenkomst: hoe, wat en wanneer? Een kort overzicht.

Bewerkersovereenkomst: hoe, wat en wanneer? Een kort overzicht.

De bewerkersovereenkomst. Je hebt deze term misschien al eens voorbij zien komen. Of je bent er zelf naar op zoek gegaan. De kans is groot dat je ook al weet dat deze overeenkomst te maken heeft met privacy en verwerking van persoonsgegevens. Wat je misschien nog niet weet is het antwoord op de vraag wanneer je deze overeenkomst moet afsluiten èn wat erin moet staan.

Wat is de bewerkersovereenkomst?

Kort samengevat: wanneer jouw organisatie persoonsgegevens (verwijzing blog over persoonsgegevens) opslaat voor een ander of wanneer jouw organisatie een ander met persoonsgegevens van jouw klanten laat werken (“bewerken”) dan is het sluiten van een bewerkersovereenkomst verplicht. Deze verplichting bestaat wanneer de bewerkende partij, de bewerker, niet aan het rechtstreekse gezag is onderworpen van de organisatie die opdracht geeft tot bewerking (“verantwoordelijke”).

Het is niet altijd duidelijk wanneer er sprake is van bewerken van persoonsgegevens. Een bekend voorbeeld van het bewerken door een derde partij is wanneer je een hostingpartij inschakelt die de data die jouw organisatie verzamelt opslaat. Maar ook de partij die jouw nieuwsbrieven verstuurt, die de klantenadministratie of facturatie doet, bewerkt persoonsgegevens. En zo zijn er nog legio voorbeelden te bedenken.

Maar het is niet altijd duidelijk of een bewerkersovereenkomst nodig is. Soms bevinden we ons in grijs gebied. En belangrijk is om je te realiseren dat het niet altijd zo is dat er een verantwoordelijke aan de ene kant staat en een bewerker aan de andere kant. Er zijn ook gevallen waarbij er twee verantwoordelijken zijn. In dat geval bepalen beide partijen de doelen en de middelen van de gegevensverwerking.  Neemt niet weg dat je er dan ook verstandig aan doet een overeenkomst te hebben waarin rechten en verantwoordelijkheden staan.

Maar wat staat er dan in?

In het algemeen kun je zeggen dat de rechten en verantwoordelijkheden tussen partijen onderling worden vastgesteld. In mei 2018 zal de Europese privacyregelgeving, de AVG, gaan gelden. De bewerkersovereenkomst heet vanaf dat moment verwerkersovereenkomst. Voor de leesbaarheid hanteer ik verder nog de “huidige” termen.

De AVG geeft aan dat deze overeenkomst een schriftelijke overeenkomst is, waaronder in elektronische vorm. En wat moet er allemaal in staan? Het topje van de ijsberg:

– dat de bewerker (verwerker onder de AVG) de persoonsgegevens in eerste instantie alleen op schriftelijke instructie van de verantwoordelijke mag bewerken;
– het onderwerp en duur van de verwerking, aard en doel, soort persoonsgegevens en categorieën van betrokken;
– geheimhoudingsplicht voor de bewerker en diens personeel;
– bijstand verlenen door de bewerker bij naleving verplichtingen van verantwoordelijke;
– informatieverstrekking;
– mogelijkheid tot audit (inspectie);
– na afloop gegevens vernietigen/retourneren;
– toestemming voor het inschakelen van subbewerkers; en
– technische en organisatorische maatregelen, het liefst zo specifiek mogelijk.

Aparte vermelding verdient het protocol indien er sprake is van een datalek. Omdat een datalek binnen 72 uur na de ontdekking hiervan bij onze toezichthouder moet worden gemeld is het zaak te weten wat het stappenplan in een dergelijk geval is. Neem dit ook op in de bewerkersovereenkomst.

Actieplan!

Ga bij jezelf na of jouw organisatie bewerkers inschakelt of dat je wellicht zelf een bewerker bent. En zo ja: of je al een goed sluitende bewerkersovereenkomst hebt liggen. Twijfel je, dan kan May Legal onderzoeken of je een bewerkersovereenkomst nodig hebt of dat de overeenkomt die je hebt afgesloten volstaat. En heb je nog geen bewerkersovereenkomst? Dan stelt May Legal deze graag voor jou op.

P.S. Van cliënten krijg ik weleens te horen dat zij vinden dat (bijvoorbeeld) hun hostingpartij hierover had moeten informeren en een bewerkersovereenkomst had moeten aanbieden. Wat je hier ook van vindt, als verantwoordelijke ben jij voor de wet verantwoordelijk voor de juiste naleving van de wet. De bal ligt dus in principe bij jou en eventuele boetes zijn voor jouw rekening. Wees dus op je hoede.

Written by

The author didnt add any Information to his profile yet