Wat moet ik regelen als ik persoonsgegevens van mijn klanten aan een ander bedrijf geef voor de fulfilment?

Een lezer vroeg me: Wat moet ik regelen als ik persoonsgegevens van mijn klanten aan een ander bedrijf geef voor de fulfilment?

Wanneer u zelf persoonsgegevens verzamelt en gebruikt, is het duidelijk dat de Wet bescherming persoonsgegevens (Wbp) op u van toepassing is. Maar als u een ander inschakelt om u te helpen, wordt de situatie complexer. Wie is aansprakelijk voor datalekken of een verwerking zonder toestemming? De Wbp voorziet hierin, en stelt expliciete regels voor de situatie dat een bedrijf een ander gegevens laat bewerken, zoals de wet dit noemt.

Passend beveiligingsniveau
Volgens de wet bent u “verantwoordelijke” voor de persoonsgegevens. U kunt en mag bijvoorbeeld zelfstandig besluiten een factuur of nieuwsbrief uit te sturen aan uw klanten. Het fulfilment bedrag wordt aangemerkt als “bewerker”. Aangezien u verantwoordelijke bent, moet u op grond van de Wbp passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens te beveiligen tegen verlies of tegen andere vormen van onrechtmatige verwerking van de persoonsgegevens. Worden bestanden bijvoorbeeld versleuteld opgeslagen en wordt er gebruikgemaakt van een SSL-verbinding wanneer er gegevens vanuit de backend van uw webwinkel naar de server van het fulfilment bedrijf worden verzonden?

Bewerkersovereenkomst
Als u voor een derde inschakelt die persoonsgegevens opslaat en verwerkt, moet er altijd een overeenkomst tussen u en deze derde worden gesloten waarin de afspraken en verplichtingen over en weer worden vastgelegd. In deze zogeheten bewerkersovereenkomst is het belangrijk om in ieder geval rekening te houden met de volgende punten:

• maak duidelijk met welk doel de gegevens worden verwerkt;
• zorg ervoor dat de gegevens niet buiten de Eu worden verwerkt door de bewerker;
• stel regels omtrent de beveiliging van de persoonsgegevens;
• noem de specifieke beveiligingsmaatregelen;
• zorg voor een recht op het uitvoeren van een audit bij de bewerker en maak duidelijk waarop deze audit zich richt;
• neem een boeteclausule op voor overtreding van de bewerkersovereenkomst;
• zorg voor een meldplicht voor de bewerker bij datalekken.

Het is uw verantwoordelijkheid dat deze overeenkomst daadwerkelijk met het fulfilment bedrijf wordt gesloten. Zonder bewerkersovereenkomst handelt u in strijd met de Wbp. Het fulfilment bedrijf hoeft niet zelf met een bewerkersovereenkomst te komen of u daarop te wijzen.

 

Terug naar overzicht