Privacyrecht: van bewerkersovereenkomst naar verwerkersovereenkomst
Een organisatie die persoonsgegevens verwerkt, kan een derde partij inschakelen aan wie de verdere verwerking van die gegevens wordt uitbesteed. Denk bijvoorbeeld aan het laten verzorgen van de salarisadministratie door een extern kantoor. Tussen deze partijen moet een bewerkersovereenkomst worden gesloten. Met de komst van de Europese Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 wordt dit de verwerkersovereenkomst. Als verantwoordelijke voor de verwerking van persoonsgegevens dient u te zorgen voor zo’n overeenkomst met uw verwerkers en na te gaan of uw bestaande overeenkomsten voldoen aan de eisen van de AVG.
Privacywetgeving
In de Wet bescherming persoonsgegevens komen de begrippen ‘verantwoordelijke’ en ‘bewerker’ voor. De verantwoordelijke is de organisatie die de persoonsgegevens verzamelt en beheert. De bewerker is het bedrijf dat met deze persoonsgegevens in opdracht van de verantwoordelijke aan de slag gaat, bijvoorbeeld het opstellen en verzenden van de loonstroken. Het opstellen van een bewerkersovereenkomst is een wettelijke plicht. De organisatie die de verwerking van persoonsgegevens uitbesteedt is en blijft namelijk verantwoordelijk voor de rechtmatige verwerking van de gegevens. Daarom moet de verantwoordelijke er voor zorgen dat er voldoende waarborgen zijn dat de privacywetgeving niet wordt overtreden. De bewerkersovereenkomst is daarvoor bedoeld.
Bewerkersovereenkomst
In de bewerkersovereenkomst worden afspraken gemaakt, zoals:
- De bewerker verwerkt uitsluitend de aangeleverde persoonsgegevens in opdracht van en conform de schriftelijke instructies van de verantwoordelijke. Het is de bewerker niet toegestaan om de aangeleverde persoonsgegevens voor een eigen of enig ander doel te gebruiken.
- Op de medewerkers van de bewerker rust een geheimhoudingsplicht ten aanzien van de aangeleverde persoonsgegevens.
- De bewerker garandeert dat de persoonsgegevens bij hem voldoende, volgens de laatste stand van de techniek, zijn beveiligd.
- Als een datalek wordt geconstateerd, dan meldt de verwerker dit direct, uiterlijk binnen 24 uur aan de verantwoordelijke.
Uiteraard worden in een bewerkersovereenkomst nog veel meer van dergelijke afspraken gemaakt. Het belang van een bewerkersovereenkomst is dat de verantwoordelijke kan laten zien aan haar verplichtingen te voldoen die voortvloeien uit de privacywetgeving. Bijvoorbeeld dat een optimale beveiliging van de persoonsgegevens is gewaarborgd of voor het melden van een datalek binnen 72 uur na ontdekking daarvan. Daarom is het van belang dat een bewerker een eventueel datalek direct, uiterlijk binnen 24 uur, meldt bij de verantwoordelijke. Dan heeft de verantwoordelijke nog 48 uur om het lek te melden bij de Autoriteit persoonsgegevens.
Kortom: de bewerkersovereenkomst heeft als doel met de bewerkers dusdanige afspraken te maken dat de verantwoordelijke kan laten zien de privacywetgeving na te leven. Handelt de bewerker in strijd met de afspraken in de bewerkersovereenkomst, dan kan de verantwoordelijke boetes of claims die daar het gevolg van zijn, verhalen op de bewerker.
AVG en verwerkersovereenkomst
Vanaf 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht en heet de verantwoordelijke ‘verwerkingsverantwoordelijke’ en wordt de term bewerker vervangen door ‘verwerker’. De bewerkersovereenkomst heet vanaf 25 mei 2018 ‘verwerkersovereenkomst’. De Autoriteit Persoonsgegevens kan vanaf 25 mei 2018 sneller en hogere boetes opleggen bij overtreding van de privacyregels. Daarom is het raadzaam om tijdig een bewerkersovereenkomst te sluiten met organisaties waaraan u de verwerking van persoonsgegevens uitbesteedt.
Wilt u meer weten over de relatie tussen de verantwoordelijke en de bewerker? Of bent u op zoek naar een model van een bewerkersovereenkomst? Neem dan contact met ons op via telefoonnummer 079-363 1919 of per mail. Of neem deel aan onze cursus Privacyrecht, de Algemene Verordening Gegevensbescherming.