Wat is een bewerkersovereenkomst en is het verplicht?

Bewerkersovereenkomst For-Al-IT

🕐 Geschatte leestijd: 4 minuten. 

Wij ervaren dat er nog veel bedrijven zijn die weinig kennis hebben over wat nu eigenlijk een bewerkersovereenkomst is. Ook heerst er veel onduidelijkheid of een bewerkersovereenkomst verplicht is. In deze blog gaan wij u hier meer over vertellen. Na het lezen van de blog weet u wat een bewerkersovereenkomst is en of deze voor u verplicht is.

Wat is een bewerkersovereenkomst?

Een bewerkersovereenkomst sluit u af met het bedrijf welke uw persoonsgegevens gaat verwerken. Stel u gaat gebruik maken van cloud diensten via een cloud provider, zoals hosting, online back-up, SaaS of DaaS, dan is er op dat moment sprake van verwerking.

Waarom vraagt u zich af? Een cloud provider zorgt ervoor dat uw gegevens worden opgeslagen en/of online beschikbaar worden gesteld. Dit wordt volgens de wet gezien als verwerken. De partij die verwerkt wordt ook wel een bewerker genoemd. Naast een bewerker is er ook een verantwoordelijke voor de persoonsgegevens. Dit is degene die de gegevens heeft verzameld en opdracht heeft gegeven aan een externe partner, de bewerker, om persoonsgegevens te gebruiken voor bepaalde doeleinden.

Mocht u andere zaken uitbesteden aan een externe partner en daar worden persoonsgegevens -onder andere- verzameld, bewaard, bijgewerkt, gewijzigd, gebruikt, verspreid, vernietigd etcetera dan is er ook sprake van verwerking.

Een bewerkersovereenkomst is niet direct nodig wanneer u geheel (lokaal) on-premise werkt en dus niets uitbesteed aan externe partijen waardoor er geen sprake is van het verwerken van persoonsgegevens.

Bewerkersovereenkomst verplicht?

Wet bescherming persoonsgegevens

In artikel 14 lid 2 van de Wet bescherming persoonsgegevens (WBP) is bepaald dat de uitvoeringen van de verwerkingen door een bewerker moeten worden geregeld in een overeenkomst of een andere rechtshandeling. Daarnaast geeft de Wbp aan dat u als verantwoordelijke een bewerkersovereenkomst dient te laten ondertekenen door de bewerker.

Toezicht

De verantwoordelijke blijft te allen tijde verantwoordelijk en zal dus ook goed moeten opletten wat er precies in de overeenkomst staat en/of deze voldoende is.

Wat moet er in een bewerkersovereenkomst staan?

Nu u weet of een bewerkersovereenkomst nodig is, komt de vraag “wat is de volgende stap”? Dat is het opstellen van een dergelijke overeenkomst met uw bewerker. Welke onderwerpen dient u te beschrijven? Ons advies is om de volgende items op te nemen in de bewerkersovereenkomst.

Bewerking op basis van instructie

De bewerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken maar alleen voor datgene waar de verantwoordelijke instructie voor geeft. U zult hier moeten omschrijven voor welke doeleinden de bewerker, externe partij, de persoonsgegevens mag gebruiken en welke middelen hiervoor gebruikt mogen worden.

Geheimhouding

In een geheimhoudingsverklaring geeft u aan dat een bewerker een geheimhoudingsplicht heeft ten aanzien van de persoonsgegevens. Dit betekent dat de bewerker niet zomaar gegevens mag doorsturen naar sub-bewerkers. Om te voorkomen dat dit wel wordt gedaan kunt u hier een boeteclausule voor opnemen. Overigens is het opzettelijk niet-naleven van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.

Beveiligingsmaatregelen

De verantwoordelijke zal zorg moeten dragen voor de beveiliging van de persoonsgegevens. Zo zal de verantwoordelijke toezicht moeten houden of de bewerker passende technische en organisatorische maatregelen heeft genomen om de gegevens te beveiligen tegen eventueel verlies van de data.

Deze afspraken mogen niet te algemeen worden omschreven zoals “de bewerker zorgt voor een passende en adequate beveiliging van de persoonsgegevens”. Een voorbeeld van hoe het wel moet: “de bewerker zal digitale persoonsgegevens uitsluitend transporteren via een met SSL-techniek versleutelde verbinding”. De afnemer van de clouddiensten (in de wet de verantwoordelijke genoemd), moet bepalen welke maatregelen nodig zijn om te voldoen aan de wettelijke beveiligingsplicht (artikel 13 Wbp), niet de bewerker. De verantwoordelijke dient dus verstand te hebben van beveiliging of anders daar advies over in te winnen.

Locatie van de data

De verantwoordelijke moet weten in welk land (of landen) de data wordt opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland. Zo mogen persoonsgegeven niet zomaar buiten Europa opgeslagen worden.

Audits

De verantwoordelijke heeft het recht om de beveiliging door een deskundige te laten inspecteren. Dit gebeurt vaak in de vorm van een audit, een onderzoek door de verantwoordelijke of door een onafhankelijke derde partij. In de bewerkersovereenkomst kunnen partijen hier nadere afspraken over maken.

Aansprakelijkheid bij datalekken

De wet bepaalt dat de verantwoordelijke kan worden aangesproken als een relatie van de verantwoordelijke schade lijdt doordat de Wet Bescherming Persoonsgegevens niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de bewerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de bewerkersovereenkomst heldere afspraken te maken over deze verdeling. Ook zult u moeten opnemen hoe u beiden acteert wanneer zich een datalek heeft voorgedaan.

Voorbeeld bewerkersovereenkomst

Een bewerkersovereenkomst is niet zomaar opgesteld. Om u op weg te helpen hebben wij een voorbeeld van een bewerkersovereenkomst. Dit geeft u een beeld hoe een bewerkersovereenkomst eruit hoort te zien. Voorbeeld bewerkersovereenkomst.

Kunnen wij u van dienst zijn?

Voor zowel de verantwoordelijke (cloud afnemer) als de bewerker (cloudprovider) is een bewerkersovereenkomst noodzakelijk. Niet alleen om tot een overeenstemming te komen tot een verdeling van de aansprakelijkheid van eventuele schade die onverhoopt ontstaat bij de verwerking van de persoonsgegevens. Mocht u na het voorbeeld van onze bewerkersovereenkomst hulp nodig hebben bij het opstellen van een overeenkomst dan kunt u contact opnemen met een van onze specialisten. U kunt ons bereiken op telefoonnummer 088 – 751 0202 of mail naar info@forallit.nl.