De bewerkersovereenkomst. Wat is dat voor een beest?

Binnen het domein van privacy blijkt geen enkele overeenkomst zo onbekend als de bewerkersovereenkomst. Nochtans is het hanteren ervan wettelijk verplicht! Waar gaat deze overeenkomst over en wie dient ervoor te zorgen?

Het blijft me verbazen hoe weinig is geweten van de wettelijke verplichtingen onder de Wet Bescherming Persoonsgegevens (afgekort Wbp of ook de privacywet). Dat geldt zelfs voor organisaties die dagelijks persoonsgegevens verzamelen. En één van de zwarte gaten uit die privacywet is zonder twijfel de bewerkersovereenkomst. Zelfs IT dienstverleners kijken me onwetend aan als ik deze ter sprake breng.

Voor de volledigheid : De privacywet speelt zodra persoonsgegevens worden verwerkt. Met andere woorden zodra iets wordt gedaan met gegevens die terug te leiden zijn tot een individu.

Ieder van ons laat zijn persoonsgegevens achter bij ontelbaar veel organisaties en bedrijven. Deze zijn allemaal `verantwoordelijken` in de zin van de Wbp (privacywet). Denk aan de videotheek om de hoek, uw apotheek, woningvereniging of de webwinkel waar u laatst bestellingen plaatste. Zij bepalen met welke middelen en voor welk doel onze persoonsgegevens worden verwerkt.

Deze verantwoordelijken kunnen de gegevens van hun klanten laten bewerken/opslaan. Dat kunnen ze laten doen door een hostingprovider of SAAS dienstverlener die onrechtstreeks dus ook toegang krijgt tot die persoonsgegevens.

De hostingprovider of SAAS dienstverlener handelt in opdracht van de verantwoordelijke en wordt onder de privacywet de bewerker genoemd. De bewerker heeft wettelijk gezien (artikel 12 Wbp) een plicht tot geheimhouding over de persoonsgegevens die hij verwerkt.

Artikel 14 Wbp schrijft voor dat de verantwoordelijke, als hij persoonsgegevens laat verwerken door een bewerker, moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft. Die maatregelen moeten zo krachtig zijn dat verlies en onrechtmatige verwerking van de persoonsgegevens uitgesloten wordt (artikel 13 Wbp).

Nu is het wettelijk zo dat de afspraken die de verantwoordelijke met de bewerker maakt over de bescherming en de beveiliging van persoonsgegevens schriftelijk moeten worden vastgelegd. En hier komt de bewerkersovereenkomst om de hoek kijken!

Iedere organisatie die persoonsgegevens laat verwerken moet zijn hostingprovider, softwareleverancier of SAAS dienstverlener dus vragen om een bewerkersovereenkomst.

Kan de IT leverancier die overeenkomst niet voorleggen, dan is het juridisch gezien de verantwoordelijkheid van de verantwoordelijke dat die er toch komt. De organisatie moet in dat geval dus zelf aan de slag met een bewerkersovereenkomst.

Ook moet de verantwoordelijke er op toezien dat de bewerker ook doet wat hij belooft. Dit kan de verantwoordelijke controleren aan de hand van een Third Party Memorandum (TPM). Mijn collega Arnoud legde eerder al uit waarvoor TPM staat. Dit is een verklaring van een onafhankelijke externe deskundige over de maatregelen die een bewerker heeft getroffen. Zo krijgt de verantwoordelijken inzicht in de getroffen maatregelen, zonder dat hij er zelf onderzoek naar hoeft te (laten) doen.

Nog op zoek naar een model bewerkersovereenkomst?

 

Terug naar overzicht