Algemeen
2
0

Verwerkersovereenkomst

De Europese Privacyverordening AVG heeft een nieuwe naam voor de bewerkersovereenkomst: verwerkersovereenkomst.

Dit sluit aan bij de veranderde termen ‘verantwoordelijke’ (‘controller’) die is vervangen door verwerkingsverantwoordelijke en ‘bewerker’ (‘processor’) die is aangepast tot verwerker.
Op deze pagina hanteren we voorlopig nog de oude benamingen.

Wat is een bewerkersovereenkomst?
Een bewerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een ander bedrijf inschakelt.

Een bewerkersovereenkomst of data processing agreement (DPA) is een begrip uit de privacyregelgeving.
Twee termen uit de privacyregelgeving dienen te worden toegelicht. Dit zijn de begrippen ‘verantwoordelijke’ en ‘bewerker’.

De verantwoordelijke (controller) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.

De bewerker (processor) is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt bewerker zijn.

De bewerkersovereenkomst is de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Het valt onder de verantwoordelijkheid van de verantwoordelijke (what’s in a name?) dat dit ook gebeurt.

Zie de pagina Persoonsgegevens voor het begrip verwerken

Wanneer is een bewerkersovereenkomst nodig?
Als een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, is altijd een bewerkersovereenkomst tussen beide verplicht. Dit geldt ook als de bewerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens ‘uitbesteedt’, is een schriftelijke overeenkomst vereist.

Besef dat er al gauw sprake is van ‘verwerken’ van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.

Onderwerpen in een bewerkersovereenkomst
Over het algemeen zijn onderstaande onderwerpen in de meeste bewerkersovereenkomsten terug te vinden.

Bewerking in overeenstemming met instructies verantwoordelijke
De bewerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.

Geheimhouding
In deze bepaling wordt aan de bewerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.

Beveiligingsmaatregelen
De verantwoordelijke draagt zorg dat de bewerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen verlies e.d.

Inschakelen van derden en onderaannemers
In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de bewerker subbewerkers mag inschakelen.

Locatie van de data
De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.

Audits
De verantwoordelijke moet kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de bewerkersovereenkomst kunnen partijen hier nadere afspraken over maken.

Aansprakelijkheid

De wet bepaalt dat de verantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de Wet Bescherming Persoonsgegevens niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de bewerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de bewerkersovereenkomst heldere afspraken te maken over deze verdeling.

Verwerker en verwerkersovereenkomst

Met de komst van de Europese Privacyverordening worden de begrippen ‘bewerker’ en ‘bewerkersovereenkomst’ hernoemd in ‘verwerker’ en ‘verwerkersovereenkomst’.

Tags: , , ,

Soortgelijke Berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

Meest Bekeken Berichten

Menu