21 april 2017

De bewerkersovereenkomst; vergeet dit niet!

Door Christiaan Mensink

Eerder hebben wij u uitgelegd wat er voor u als ondernemer komt kijken bij het verwerken van persoonsgegevens en wat u moet doen in het geval van een datalek.

In deze weblog leggen wij u uit wat u moet doen als u persoonsgegevens waar u over beschikt, laat verwerken door een derde partij.

Wat is een bewerkersovereenkomst?

Wanneer u als ondernemer beschikt over persoonsgegevens, is de Wet Bescherming Persoonsgegevens (Wbp) van toepassing. Deze wet regelt niet alleen wat persoonsgegevens zijn, maar ook hoe u zorgvuldig met deze gegevens om dient te gaan. Ook de bewerkersovereenkomst is daarom in de Wbp geregeld. Dat is de overeenkomst tussen de verantwoordelijke en de bewerker van persoonsgegevens. De verantwoordelijke is degene voor wie de persoonsgegevens worden verwerkt; de bewerker is de partij die voor de verantwoordelijke de gegevens verwerkt. In deze overeenkomst leggen partijen onder meer vast voor welke doeleinden de gegevens worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen, en regelen zij de onderlinge aansprakelijkheid.

Wanneer bent u verplicht een bewerkersovereenkomst te sluiten?

Als verantwoordelijke bent u wettelijk verplicht een bewerkersovereenkomst te sluiten, als u persoonsgegevens laat verwerken door een derde partij. Daarvan is al snel sprake. Bijvoorbeeld als u uw personeelsadministratie uitbesteedt, of persoonsgegevens opslaat in de cloud, is al sprake van verwerking. De verplichting tot het sluiten van een bewerkersovereenkomst geldt ook in het geval de bewerker een dochteronderneming van u is, of de bewerker gevestigd is in het buitenland.

Als u geen bewerkersovereenkomst afsluit, terwijl dat wel verplicht is, dan riskeert u een boete en aansprakelijkheid voor een datalek bij de bewerker. Toch zijn er nog tal van ondernemers die onbekend zijn met deze wettelijke verplichting en schade riskeren. GMW kan u adviseren en begeleiden om schade te voorkomen.

Wat moet u regelen in de bewerkersovereenkomst?

Om een boete te voorkomen is het belangrijk dat u als ondernemer een (standaard) bewerkersovereenkomst klaar heeft liggen. Wat u in ieder geval niet mag vergeten te regelen in de overeenkomst zijn: het doel van de gegevensverwerking, welke veiligheidsmaatregelen de bewerker moet treffen om de veiligheid van de gegevens te garanderen en waar de gegevens door de bewerker worden opgeslagen. In het geval dat de gegevens buiten de Europese Unie (EU) worden opgeslagen, gelden aanvullende eisen. Een ander punt dat u zeker niet mag vergeten, is hoe partijen om zullen gaan met een datalek. Welke partij zal de verplichte melding bij de Autoriteit Persoonsgegevens doen? En voor welke schade zijn partijen verantwoordelijk? Ook moet u erop toezien dat de bewerker de door hem toegezegde beveiligingsmaatregelen daadwerkelijk neemt.

Wat moet u doen als de gegevens niet in Nederland worden opgeslagen?

Als verantwoordelijke moet u nagaan in welke landen uw gegevens door de bewerker worden opgeslagen. Dit is van belang, omdat er strenge regels gelden voor het exporteren van persoonsgegevens naar landen buiten de EU. Op de doorgifte van persoonsgegevens naar een EU-lidstaat zijn geen aanvullende eisen van toepassing. De hoofdregel is dat persoonsgegevens alleen mogen worden geëxporteerd naar landen die een ‘passend beschermingsniveau’ waarborgen. Welke landen dit zijn, is te vinden op de lijst van landen met een passend beschermingsniveau. Doorgifte naar landen die geen passend beschermingsniveau waarborgen is alleen toegestaan als aan bepaalde strenge eisen wordt voldaan en met een vergunning van de minister van Veiligheid en Justitie.

Hoe zit het met doorgifte van persoonsgegevens naar de Verenigde Staten?

Op 12 juli 2016 heeft de Europese Commissie de EU-US Privacy Shield voor het uitwisselen van persoonsgegevens tussen de EU en de VS aangenomen. Deze overeenkomst is een vervanging van het bekendere Safe Harbor verdrag. Amerikaanse bedrijven kunnen zich sinds 1 augustus 2016 voor het EU – U.S. Privacy Shield certificeren. Europese bedrijven kunnen checken welke bedrijven op de Privacy Shield List staan. Aan die bedrijven kunnen zij zonder extra strenge regels persoonsgegevens doorgeven.

Voor vragen over het laten bewerken van persoonsgegevens, of het opstellen van een bewerkersovereenkomst, kunt u te allen tijde bij ons terecht.

Christiaan Mensink

Christiaan Mensink

Advocaat/partner

Christiaan Mensink is een van de meest ervaren en gespecialiseerde WHOA-advocaten van Nederland.

Gerelateerde blogs

10 juli 2024

Betwisten van een factuur wegens toerekenbare tekortkoming

Eerder schreef ik een artikel over het innen van facturen. In dit artikel ga ik verder in op het betwisten van de facturen.

Lees meer

14 december 2023

Het incasseren van vorderingen

Hoewel de economie lijkt aan te trekken, blijkt uit de praktijk toch dat veel facturen onbetaald blijven. Mocht dat het geval zijn, dan wilt u natuurlijk snel stappen ondernemen om de vordering geïnd te krijgen.

Lees meer

21 september 2023

Wat is een STAK?

Het fenomeen certificering van aandelen zal bij de gemiddelde ondernemer veel vraagtekens opleveren. In deze blog leest u in vogelvlucht de basisprincipes en enkele voor- en nadelen van de Stichting Administratiekantoor (de ‘STAK’).

Lees meer