De bewerkersovereenkomst bij persoonsgegevens in de cloud

De Wet Bescherming Persoonsgegevens (hierna: Wbp) stelt regels voor het opslaan, verzamelen, verstrekken en combineren (kort gezegd: het verwerken) van persoonsgegevens. Daarbij gelden verschillende regels voor de verantwoordelijke en de bewerker, zoals de Wbp ze noemt. De verantwoordelijke is degene die de doelen van en de middelen voor de verwerking van de persoonsgegevens vaststelt. De bewerker is degene door de verantwoordelijke wordt ingeschakeld om de verwerking uit te voeren.

Omdat uw klant bepaalt met welk doel, bijvoorbeeld facturatie, de persoonsgegevens worden opgeslagen en met welk middel (uw systeem) de persoonsgegevens worden verwerkt, wordt uw klant als verantwoordelijke voor de gegevensverwerking aangemerkt. Logischerwijs bent u dan de bewerker van de persoonsgegevens. U doet namelijk niets anders dan de persoonsgegevens opslaan voor de klant. U heeft geen zeggenschap over de gegevens. U kunt bijvoorbeeld niet zelfstandig besluiten een nieuwsbrief uit te sturen aan de klanten van uw klant. Maar als de klant opdracht geeft, dan moet u die nieuwsbrief versturen.

De klant is daarmee degene die door de betrokken personen aangesproken kan worden op schendingen van de Wbp. Maar u staat niet volledig hierbuiten. Uw klant moet namelijk op grond van de Wbp passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens te beveiligen tegen verlies of tegen andere vormen van onrechtmatige verwerking van de persoonsgegevens. Deze maatregelen kan uw klant uiteraard niet nemen wanneer de gegevens niet bij hemzelf, maar bij u op de server worden opgeslagen.

De Wbp bepaalt daarom dat uw klant ervoor zorg dient te dragen dat u een passend beveiligingsniveau biedt om een onrechtmatige verwerking te voorkomen van de persoonsgegevens die hij gaat opslaan in uw software. De klant moet dus bij u nagaan hoe u de opslag van persoonsgegevens heeft geregeld. Worden bestanden bijvoorbeeld versleuteld opgeslagen en wordt er gebruik gemaakt van een SSL-verbinding wanneer er gegevens vanuit de applicatie naar uw server worden verzonden?

Indien er geen sprake is van een passend beveiligingsniveau kan de klant besluiten naar een andere aanbieder te gaan of u verplichten strengere beveiligingsmaatregelen te nemen. Het is immers zijn verantwoordelijkheid hoe de gegevens bij u worden opgeslagen. Voor u geldt dan de vraag of u daarmee in wilt stemmen. Formeel gelden voor u namelijk op grond van de Wbp geen beveiligingseisen, behalve diegene waar u mee akkoord bent gegaan. De kans is echter groot dat wanneer u hier niet in mee wenst te gaan, of standaard geen goede beveiliging van de gegevens biedt, uw klant voor een andere aanbieder zal kiezen.

Indien u hiertoe wel bereid bent – of indien u reeds een passend beveiligingsniveau biedt – en de klant besluit zijn gegevens bij u op te slaan, moet er altijd een overeenkomst tussen u en de klant worden gesloten waarin de afspraken en verplichtingen over een weer worden vastgelegd. In deze zogeheten bewerkersovereenkomst wordt afgesproken

• voor welke doelen u de gegevens gaat verwerken,
• met welke middelen u de gegevens gaat verwerken,
• aan wie u de gegevens mag afstaan,
• welke beveiligingsmaatregelen u heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen,
• hoe aan de controle- en correctierechten van de betrokkene wordt voldaan,
• dat de klant u vrijwaart van aanspraken van derden met betrekking tot de persoonsgegevens.

Het is ook weer de verantwoordelijkheid van uw klant dat deze overeenkomst daadwerkelijk met u wordt gesloten. U zou kunnen overwegen om als extra dienstverlening naar uw klanten toe altijd een standaard bewerkersovereenkomst paraat te hebben die zij kunnen ondertekenen. Veel van uw klanten zijn er waarschijnlijk niet van op de hoogte zijn dat zij verplicht zijn een bewerkersovereenkomst met u te sluiten.