Audittrail over hoe corporaties een bewerkersovereenkomst kunnen opstellen

Geplaatst door CorporatieMedia op
 

Organisaties maken zich druk om de bewerkersovereenkomst. En zo gek is dat niet, want het is verplicht om afspraken te maken over privacy met bewerkers, zoals ICT, hosting-, SaaS- of Cloud-dienstverleners. Het niet naleven van een regel uit de Wet bescherming persoonsgegevens of straks de Algemene Verordening Gegevensbescherming kan de organisatie een flinke boete opleveren. Afspraken maken over privacy met bewerkers is trouwens geen nieuwe regeling; dit is al verplicht sinds 2001. We willen nu duidelijkheid scheppen over deze bewerkersovereenkomst. Wat is het en hoe zorgt u ervoor dat het in orde is.

Op 1 september 2001 trad de Wet bescherming persoonsgegevens (Wbp) in werking, die is voortgekomen uit de Europese Richtlijn uit 1995. Met deze eerste versie van de Wbp werd geëist dat organisaties afspraken maakten met hun bewerkers over de bescherming van persoonsgegevens. Weinig organisaties schonken aandacht aan de regels van de Wbp, omdat er geen druk stond op het compliant zijn aan deze wet. Op 1 januari 2016 is daar wat aan veranderd. In de Wet bescherming persoonsgegevens is de meldplicht datalekken toegevoegd en heeft de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), een boetebevoegdheid gekregen.

Het is duidelijk dat een u bewerkersovereenkomsten wilt hebben met de bewerkers, anders loopt de organisatie het risico om beboet te worden door de AP. Maar hoe stelt u nou zo’n bewerkersovereenkomst op?

Aan de slag!
Het doel van de bewerkersovereenkomst is dat de bewerker het verantwoordelijk omgaan met privacy ook als zijn eigen verplichting neemt. Er moeten juridische regels worden opgesteld waar de organisatie wil dat de bewerker zich aan houdt. De verantwoordelijke (de organisatie) draagt immers zorg voor de naleving van de verplichting uit de bewerkersovereenkomst. De volgende onderdelen wil de AP in de bewerkersovereenkomst terugzien.

  • Omschrijving van persoonsgegevens
    Beschrijf het doel van de verwerking en welke persoonsgegevens daarvoor noodzakelijk zijn. Er zit altijd een verschil in de gevoeligheid tussen persoonsgegevens. Leg vast welke afspraken van toepassing zijn op welke persoonsgegevens.
  • Omschrijving van de diensten die de bewerker uitvoert
    Er moet omschreven worden welke diensten de bewerker voor de verantwoordelijke (de organisatie) uitvoert. Daar moet ook bij worden beschreven welke gegevens de bewerker nodig heeft, welke medewerkers toegang hebben tot welke gegevens en welke handelingen zij daar mee uitvoeren.
  • De betrouwbaarheidseisen die op de verwerking van toepassing zijn
    Plaats een weergave van de betrouwbaarheidseisen die op de verwerking van toepassing zijn.
  • De beveiliging door de bewerker
    Er moeten afspraken worden opgenomen over zowel de technische als organisatorische beveiligingsmaatregelen. Hiermee geeft de bewerker invulling aan de beveiligingseisen van de verantwoordelijke.
  • Transparantie over de beveiliging
    Dit zijn afspraken over de inhoud en de frequentie van de rapportages die de bewerker aan de verantwoordelijk oplevert over de beveiliging.
  • Transparantie over opgetreden beveiligingsincidenten
    Dit zijn afspraken over het transparant omgaan met informatie over opgetreden beveiligingsincidenten bij de bewerker.
  • Verwerking door bewerker
    Dit zijn afspraken over het al dan niet toestaan van verwerking door subbewerkers, met daarbij de eventuele beperkingen.
  • Verwerking van de persoonsgegevens buiten Nederland
    Afspraken over welke persoonsgegevens in welke landen worden verwerkt.
  • Voorwaarden voor heronderhandeling of beëindiging van de overeenkomst.
    Wanneer er een wijziging in de verwerkte persoonsgegevens is of een andere wijziging t.o.v. de gemaakte afspraken plaatsvindt, dan kan er naar aanleiding van deze regel een heronderhandeling of beëindiging van de overeenkomst plaatsvinden.

Privacy by Design
Met bovenstaande onderdelen kunt u goede bewerkersovereenkomsten opstellen samen met uw bewerkers. Er is echter ook een gemakkelijkere manier om deze afspraken vast te leggen, namelijk in het contract met de bewerker. Dit noemen we ook wel Privacy by Design, omdat er dan al tijdens de ontwikkeling van een product (het contract) aandacht besteedt wordt aan privacymaatregelen.

Heeft u naar aanleiding van deze informatie vragen? Laat uw vraag of opmerking dan achter in de reacties. Heeft u een wat meer concrete vraag specifiek voor uw organisatie? Neem dan contact met ons op.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2016 te bekijken.