De bewerkersovereenkomst: een checklist

[vc_row][vc_column][vc_column_text]

Verwerking van persoonsgegevens worden door bedrijven en organisaties vaak uitbesteed aan derden zoals hostingsproviders, callcenters en cloud-aanbieders. Zij worden door de Wet Bescherming Persoonsgegevens (Wbp) aangeduid als Bewerker en de opdrachtgever als Verantwoordelijke. Organisaties die de verwerking van persoonsgegevens uitbesteden, blijven echter volgens de Wbp verantwoordelijk voor de beveiliging van de persoonsgegevens. Omdat bij uitbesteding alleen de bewerker de beveiligingsmaatregelen kan nemen, verplicht de Wbp dat met de bewerker afspraken worden gemaakt over de beveiligingsmaatregelen, die schriftelijk in een bewerkersovereenkomst moeten worden vastgelegd. Hier volgt een checklist om te bepalen of uw bewerkersovereenkomst voldoet aan de eisen van de Wbp en de Autoriteit Persoonsgegevens.

1. Rolverdeling

Is de rolverdeling tussen de bewerker en de verantwoordelijke duidelijk? Voor een duidelijke rolverdeling is van belang dat helder is wie de bewerker is en wie de verantwoordelijke. Dit kan door op te nemen wie het doel en de middelen voor de verwerking van persoonsgegevens vaststelt (Verantwoordelijke) en wie verwerking van de persoonsgegevens uitvoert (Bewerker).
Voor de Autoriteit Persoonsgegevens is echter leidend hoe de rolverdeling er in de praktijk uitziet. Verwerkt de bewerker bijvoorbeeld persoonsgegevens voor een eigen (bijv. commercieel) doel, zonder dat dit in de bewerkersovereenkomst is opgenomen, dan is de bewerker ook verantwoordelijke en blijkt de rolverdeling in de praktijk dus heel anders te zijn, waardoor de concrete verplichtingen kunnen verschillen.

2. Dienstverlening bewerker

In vervolg op de rolverdeling, is het van belang dat duidelijk is welke diensten de bewerker levert en wat voor soort verwerking de bewerker toepast. Is hierbij opgenomen dat de bewerker geen persoonsgegevens mag verwerken anders dan voor het doel dat de verantwoordelijke heeft vastgesteld? Zo wordt voorkomen dat de bewerker de persoonsgegevens ook voor een eigen doel gebruikt.

3. Differentiatie

Het kan voorkomen dat niet alle persoonsgegevens die de bewerker verwerkt even gevoelig zijn en dat niet voor alle verwerkte persoonsgegevens dezelfde afspraken van toepassing zijn. Denk hierbij bijvoorbeeld aan het verschil tussen medische gegevens en contactgegevens. Is in de bewerkersovereenkomst is in dergelijke gevallen vastgelegd welke afspraken van toepassing zijn op welke persoonsgegevens?

4. Geheimhouding

Is opgenomen dat de bewerker er zorg voor draagt dat de personen die de persoonsgegevens verwerken, of daartoe toegang hebben, geheimhouding in acht nemen? Bijvoorbeeld door het opnemen van een geheimhoudingsbeding in de arbeidsovereenkomsten?

5. Beveiliging

De afspraken over beveiliging vormen de kern van de bewerkersovereenkomst. Zijn de volgende onderwerpen duidelijk geregeld:
– Welke technische en organisatorische beveiligingsmaatregelen neemt de bewerker?
– Bieden de beveiligingsmaatregelen voldoende beveiliging volgens art. 13 Wbp?
– Wordt regelmatig gerapporteerd over de genomen beveiligingsmaatregelen?
– Beschikt de bewerker over informatiebeveiligingsbeleid?
– Beschikt de bewerker over een geldige certificering?

6. Beveiligingsincidenten

Zijn er afspraken gemaakt over beveiligingsincidenten zoals datalekken? Is de bewerker verplicht een beveiligingsincident direct te melden?
Vanaf 1 januari 2016 geldt de meldplicht datalekken. Is afgesproken wie melding maakt van een datalek bij het Cbp? Is ook bepaald hoe snel na ontdekking van het datalek melding wordt gemaakt? Als er sprake is van een ernstig datalek en de betrokkenen moeten worden geïnformeerd, wie regelt dit?

7. Verwerking in het buitenland

Zijn er bepalingen opgenomen over verwerking van persoonsgegevens in het buitenland en het naleven van de privacy verplichtingen? Voor verwerking van persoonsgegevens in het buitenland gelden mogelijk strengere waarborgen.

8. Sub-bewerkers

Is het toegestaan om gebruik te maken van een sub-bewerker door de bewerker? Zo ja, dan is het van belang dat is bepaald dat met de sub-bewerkers ook een bewerkersovereenkomst wordt gesloten en dat alle relevant bepalingen uit de bewerkersovereenkomst worden overgenomen. Om controle te houden over de keten van bewerkers kan een verbod opgenomen worden voor de sub-bewerker dat deze een verdere sub-bewerker inschakelt.

9. Toezicht

De verantwoordelijke is verantwoordelijk voor het toezicht op het naleven van de afspraken van de bewerkersovereenkomst. Daarom is het van belang dat is geregeld hoe de verantwoordelijke dit toezicht kan houden. Dit kan bijvoorbeeld door het opstellen van rapportages door de bewerker over de genomen beveiligingsmaatregelen. Ook kan hierbij gedacht worden aan een externe audit. Als de bewerker beschikt over relevante certificeringen zoals ISO 20001:2005 en ISO 20000-1:2011 kan dit ook voldoende zijn.

10. Voortijdig eindigen van de bewerkersovereenkomst

Zijn er afspraken gemaakt indien de bewerkersovereenkomst voortijdig eindigt? Denk hierbij aan hoe de persoonsgegevens worden geretourneerd, in welk bestandsformaat of welke omgeving? Hoe is vormgegeven dat de bewerker na beëindiging niet meer over de persoonsgegevens kan beschikken?

11. Aansprakelijkheid

Wat is bepaald over de aansprakelijkheid van de bewerker? Het is van belang om afspraken te maken over wie de schade draagt ingeval van onrechtmatige verwerking van persoonsgegevens of datalekken (waaronder verlies van data).
Krachtens de wet is de verantwoordelijke aansprakelijk als iemand schade lijdt door het onrechtmatige verwerken van persoonsgegevens, de bewerker is aansprakelijk voor de schade die door zijn toedoen is ontstaan. Hiervan kan niet worden afgeweken in de bewerkersovereenkomst.

Wilt u een bewerkersovereenkomst opstellen of laten beoordelen? Neem dan vrijblijvend contact met ons op.[/vc_column_text][/vc_column][/vc_row]