21 april 2017
Eerder hebben wij u uitgelegd wat er voor u als ondernemer komt kijken bij het verwerken van persoonsgegevens en wat u moet doen in het geval van een datalek.
In deze weblog leggen wij u uit wat u moet doen als u persoonsgegevens waar u over beschikt, laat verwerken door een derde partij.
Wanneer u als ondernemer beschikt over persoonsgegevens, is de Wet Bescherming Persoonsgegevens (Wbp) van toepassing. Deze wet regelt niet alleen wat persoonsgegevens zijn, maar ook hoe u zorgvuldig met deze gegevens om dient te gaan. Ook de bewerkersovereenkomst is daarom in de Wbp geregeld. Dat is de overeenkomst tussen de verantwoordelijke en de bewerker van persoonsgegevens. De verantwoordelijke is degene voor wie de persoonsgegevens worden verwerkt; de bewerker is de partij die voor de verantwoordelijke de gegevens verwerkt. In deze overeenkomst leggen partijen onder meer vast voor welke doeleinden de gegevens worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen, en regelen zij de onderlinge aansprakelijkheid.
Als verantwoordelijke bent u wettelijk verplicht een bewerkersovereenkomst te sluiten, als u persoonsgegevens laat verwerken door een derde partij. Daarvan is al snel sprake. Bijvoorbeeld als u uw personeelsadministratie uitbesteedt, of persoonsgegevens opslaat in de cloud, is al sprake van verwerking. De verplichting tot het sluiten van een bewerkersovereenkomst geldt ook in het geval de bewerker een dochteronderneming van u is, of de bewerker gevestigd is in het buitenland.
Als u geen bewerkersovereenkomst afsluit, terwijl dat wel verplicht is, dan riskeert u een boete en aansprakelijkheid voor een datalek bij de bewerker. Toch zijn er nog tal van ondernemers die onbekend zijn met deze wettelijke verplichting en schade riskeren. GMW kan u adviseren en begeleiden om schade te voorkomen.
Om een boete te voorkomen is het belangrijk dat u als ondernemer een (standaard) bewerkersovereenkomst klaar heeft liggen. Wat u in ieder geval niet mag vergeten te regelen in de overeenkomst zijn: het doel van de gegevensverwerking, welke veiligheidsmaatregelen de bewerker moet treffen om de veiligheid van de gegevens te garanderen en waar de gegevens door de bewerker worden opgeslagen. In het geval dat de gegevens buiten de Europese Unie (EU) worden opgeslagen, gelden aanvullende eisen. Een ander punt dat u zeker niet mag vergeten, is hoe partijen om zullen gaan met een datalek. Welke partij zal de verplichte melding bij de Autoriteit Persoonsgegevens doen? En voor welke schade zijn partijen verantwoordelijk? Ook moet u erop toezien dat de bewerker de door hem toegezegde beveiligingsmaatregelen daadwerkelijk neemt.
Als verantwoordelijke moet u nagaan in welke landen uw gegevens door de bewerker worden opgeslagen. Dit is van belang, omdat er strenge regels gelden voor het exporteren van persoonsgegevens naar landen buiten de EU. Op de doorgifte van persoonsgegevens naar een EU-lidstaat zijn geen aanvullende eisen van toepassing. De hoofdregel is dat persoonsgegevens alleen mogen worden geëxporteerd naar landen die een ‘passend beschermingsniveau’ waarborgen. Welke landen dit zijn, is te vinden op de lijst van landen met een passend beschermingsniveau. Doorgifte naar landen die geen passend beschermingsniveau waarborgen is alleen toegestaan als aan bepaalde strenge eisen wordt voldaan en met een vergunning van de minister van Veiligheid en Justitie.
Op 12 juli 2016 heeft de Europese Commissie de EU-US Privacy Shield voor het uitwisselen van persoonsgegevens tussen de EU en de VS aangenomen. Deze overeenkomst is een vervanging van het bekendere Safe Harbor verdrag. Amerikaanse bedrijven kunnen zich sinds 1 augustus 2016 voor het EU – U.S. Privacy Shield certificeren. Europese bedrijven kunnen checken welke bedrijven op de Privacy Shield List staan. Aan die bedrijven kunnen zij zonder extra strenge regels persoonsgegevens doorgeven.
Voor vragen over het laten bewerken van persoonsgegevens, of het opstellen van een bewerkersovereenkomst, kunt u te allen tijde bij ons terecht.
