Ondernemingen verzamelen steeds meer persoonsgegevens. Niet alleen van personeel, maar ook van websitebezoekers en klanten. Zij delen deze data, voor allerlei praktische doeleinden, steeds vaker met derden. Vanuit de wetgever wordt de aandacht voor privacy echter ook steeds groter. De overheid stelt daarom steeds strengere eisen aan ondernemingen die persoonsgegevens verzamelen.
Als u persoonsgegevens deelt met een derde partij bent u bijvoorbeeld verplicht om met deze partij een bewerkersovereenkomst af te sluiten. Maar wat is een bewerkersovereenkomst eigenlijk? Wanneer heeft u hem precies nodig en waar moet u op letten? Oprecht Advocaten legt het u graag uit.
Wat is een bewerkersovereenkomst?
Een bewerkersovereenkomst is juridisch gezien een overeenkomst van opdracht tot verwerking van persoonsgegevens. Het is een contract waarin u met een derde partij afspraken maakt over het verwerken van de persoonsgegevens die u hebt verzameld.
Wanneer heeft u een bewerkersovereenkomst nodig?
Als u persoonsgegevens verzamelt, maar andere partijen (bewerkers) inschakelt bij de verwerking ervan, blijft u verantwoordelijk en dus aansprakelijk voor wat er met deze persoonsgegevens gebeurt. U bent in dan wettelijk verplicht om een bewerkersovereenkomst af te sluiten.
Denkt u bijvoorbeeld aan de situatie waarin u gebruik maakt van de diensten van een salarisadministrateur. U deelt de gegevens van uw medewerkers met de administrateur en deze administrateur zorgt ervoor dat de salarissen, belastingen en afdrachten worden overgemaakt . Of aan de situatie waarin u, als eigenaar van een webshop, gebruik maakt van de diensten van een expediteur of vervoerder. U deelt de gegevens van uw klanten met deze partijen en zij zorgen ervoor dat uw producten op de juiste plaats terechtkomen.
Omdat u verantwoordelijk blijft voor de bescherming van de persoonsgegevens is het belangrijk dat deze bewerkers de persoonsgegevens van uw medewerkers of klanten op dezelfde manier beschermen als u dat doet (en zoals u ook aan uw klanten heeft toegezegd). Deze afspraken legt u vast in een bewerkersovereenkomst.
Overigens: ook opslag valt onder verwerking. Als u dus bijvoorbeeld persoonsgegevens op een externe server (in de cloud) bewaart, moet u ook een bewerkersovereenkomst sluiten.
Wat legt u vast in een bewerkersovereenkomst?
In een bewerkersovereenkomst neemt u de verplichtingen over en weer op. Zo moeten o.a. het soort gegevens, de doeleinden van de verwerking en de duur van de opslag in de overeenkomst zijn opgenomen. De bewerker mag de persoonsgegevens niet voor andere doeleinden gebruiken dan met u is afgesproken.
Daarnaast is het essentieel om vast te leggen dat de bewerker zich aan alle wettelijke privacyregels zal houden én hoe u daarop kunt toezien.
Verder is het belangrijk om in een bewerkersovereenkomst goede afspraken te maken over de beveiligingsmaatregelen die de bewerker neemt en het protocol dat de bewerker volgt als er onverhoopt een datalek optreedt. Als er bij de bewerker iets misgaat en er vervolgens een datalek plaatsvindt, bent u namelijk verantwoordelijk. U loopt dan het risico op een forse sanctie van de Autoriteit Persoonsgegevens.
2018: strengere Europese privacyregelgeving
Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf dat moment heet de bewerkersovereenkomst ‘verwerkersovereenkomst’.
De AVG is op een aantal punten strenger dan de huidige Wet bescherming persoonsgegevens, die door de AVG wordt vervangen. Onder de huidige wet mag de bewerker op zijn beurt de verwerking weer uitbesteden aan een derde partij, zonder dat u daarvoor toestemming hoeft te geven. Onder de AVG is dit niet meer toegestaan.
Hoewel u nog even heeft, is het belangrijk dat uw organisatie goed op de nieuwe regelgeving is voorbereid. De boetes onder de AVG kunnen namelijk hoog uitvallen. Controleer dus op tijd of de bewerkers die u heeft ingeschakeld de verwerking weer hebben uitbesteed en maak zo nodig nieuwe afspraken.
Heeft u daar hulp bij nodig? Of wilt u advies over andere aspecten van de AVG? Bijvoorbeeld over hoe u moet handelen bij een datalek of over hoe u databeschermings- en/of privacybeleid opstelt en integreert? Neemt u dan contact op met Oprecht Advocaten.