De introductie van de meldplicht datalekken en een forse uitbreiding van de boetebevoegdheid van de toezichthouder leiden ertoe dat steeds meer organisaties zich bewust zijn van de wet- en regelgeving op het gebied van bescherming van persoonsgegevens. Veel organisaties weten inmiddels dan ook dat zij wettelijk verplicht zijn een bewerkersovereenkomst af te sluiten als zij persoonsgegevens laten verwerken door een andere partij.
In dit stuk zal onder meer aandacht worden besteed aan het begrip ‘verwerken’ en de onderwerpen die in een bewerkersovereenkomst moeten worden opgenomen. Daarbij zal ook worden aangegeven wat de verschillen zijn tussen de Wet bescherming persoonsgegevens (‘Wbp’) en de Algemene Verordening Gegevensbescherming (‘AVG’), die vanaf 25 mei 2018 van toepassing zal zijn.
Gewijzigde terminologie
Een verantwoordelijke is een organisatie of persoon die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Een bewerker is de partij, die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.
Deze twee begrippen veranderen onder de AVG in verwerkingsverantwoordelijke en verwerker. De betekenis blijft echter nagenoeg ongewijzigd. In de Engelse versie van de AVG blijven deze begrippen overigens hetzelfde (‘controller’ en ‘processor’).
Voor het gemak wordt hierna steeds gesproken over verantwoordelijke, bewerker en bewerkersovereenkomst, maar daarmee worden ook verwerkingsverantwoordelijke, verwerker en verwerkersovereenkomst bedoeld.
Verwerken
Veel organisaties besteden bepaalde delen van hun bedrijfsvoering uit. Denk hierbij aan de salarisadministratie, ziekteverzuimsystemen, klantenservice of ICT. Organisaties die dit deel van de bedrijfsvoering van de verantwoordelijke (deels) voor hun rekening nemen, zijn in de regel bewerker (of verwerker) in de zin van de Wbp en AVG.
Verwerking is namelijk een zeer ruim begrip. Daarvan is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of uitgewist. En wanneer sprake is van verwerking door een bewerker zijn partijen wettelijk verplicht om een schriftelijke bewerkersovereenkomst te sluiten.
Onderwerpen bewerkersovereenkomst
In een bewerkersovereenkomst maken partijen afspraken over de verwerking van persoonsgegevens. Op grond van de Wbp zijn organisaties momenteel enkel verplicht om een drietal onderwerpen in de bewerkersovereenkomst op te nemen, namelijk dat:
- de persoonsgegevens slechts in opdracht van de verantwoordelijke verwerkt mogen worden;
- de bewerker de beveiligingsverplichtingen nakomt die op grond van de Wbp op de verantwoordelijke rusten; en
- de bewerker de verplichtingen nakomt die op de verantwoordelijke rusten als zich een datalek heeft voorgedaan.
De AVG beschrijft veel gedetailleerder wat er in de bewerkersovereenkomst moet staan en benoemt bovendien veel meer onderwerpen. Veel van deze onderwerpen zullen waarschijnlijk ook in uw huidige bewerkersovereenkomst voorkomen, maar deze zullen naar verwachting nog niet geheel in overeenstemming met de tekst van de AVG zijn. Wij raden daarom aan nog eens kritisch te bekijken of onderstaande in uw huidige bewerkersovereenkomst is opgenomen:
- Schriftelijke instructies
In de eerste plaats moet in een bewerkersovereenkomst staan dat de persoonsgegevens uitsluitend door de bewerker mogen worden verwerkt op basis van schriftelijke instructies van de verantwoordelijke.
Deze schriftelijke instructies zullen grotendeels in de bewerkersovereenkomst zelf zijn opgenomen.
Daarnaast dient de bewerker te waarborgen dat de personen die gemachtigd zijn om persoonsgegevens te verwerken, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.
In de praktijk kan de bewerker aan deze verplichting voldoen door een geheimhoudingsbeding in de arbeidsovereenkomst op te nemen of door zijn werknemers een afzonderlijke geheimhoudingsverklaring te laten ondertekenen. Dit is niet nodig als personen op basis van een wettelijke verplichting al aan vertrouwelijkheid zijn gebonden (zoals artsen).
Ten derde moet in de bewerkersovereenkomst worden opgenomen dat de bewerker voldoende passende technische en organisatorische beveiligingsmaatregelen neemt.
Om te beoordelen welke beveiligingsmaatregelen passend zijn, moet onder andere rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, aard, omvang, context en de verwerkingsdoeleinden. Dat betekent bijvoorbeeld dat er strengere beveiligingsmaatregelen zullen moeten geïmplementeerd naarmate er over veel personen persoonsgegevens of bijzondere persoonsgegevens worden verwerkt.
Ook moet in de bewerkersovereenkomst worden vermeld dat een bewerker geen sub-bewerker in dienst mag nemen zonder voorafgaande schriftelijke toestemming van de verantwoordelijke en dat aan een sub-bewerker dezelfde verplichtingen voor de verwerking van persoonsgegevens zullen worden opgelegd als de verplichtingen die voor de bewerker gelden.
- Verzoeken van betrokkenen
Ten vijfde moet worden opgenomen dat de bewerker bijstand moet verlenen aan de verantwoordelijke bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden. Dit betreft onder meer verzoeken om inzage, correctie, verwijdering en dataportabiliteit.
De bewerker moet eveneens bijstand verlenen aan de verantwoordelijke wanneer deze een zogenaamde Data Protection Impact Assessment wil (laten) uitvoeren of wanneer een datalek is ontstaan dat moet worden gemeld bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Ook dit moet als zodanig in de bewerkersovereenkomst worden geregeld.
- Einde bewerkersovereenkomst
Verder moet in de bewerkersovereenkomst staan dat de bewerker, afhankelijk van de keuze van de verantwoordelijke, alle persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert na afloop van de verwerkingsdiensten.
Tot slot moet de bewerker alle informatie aan de verantwoordelijke ter beschikking stellen die nodig is om de nakoming van zijn verplichtingen uit de AVG aan te tonen. Ook moet in de bewerkersovereenkomst staan dat de bewerker audits, waaronder inspecties, door (een door) verantwoordelijke (gemachtigde controleur) mogelijk moet maken en eraan moet bijdragen.
Wij zijn erg benieuwd hoe grote (cloud)leveranciers gaan reageren op deze auditverplichting. Voor grote bedrijven als Google en Amazon zal het immers een onwerkbare situatie opleveren wanneer zij om de haverklap mee moeten werken aan audits. De praktijk zal dit moeten gaan uitwijzen.