Blog

AVG-serie: bewerkersovereenkomst

De introductie van de meldplicht datalekken en een forse uitbreiding van de boetebevoegdheid van de toezichthouder leiden ertoe dat steeds meer organisaties zich bewust zijn van de wet- en regelgeving op het gebied van bescherming van persoonsgegevens. Veel organisaties weten inmiddels dan ook dat zij wettelijk verplicht zijn een bewerkersovereenkomst af te sluiten als zij […]

De introductie van de meldplicht datalekken en een forse uitbreiding van de boetebevoegdheid van de toezichthouder leiden ertoe dat steeds meer organisaties zich bewust zijn van de wet- en regelgeving op het gebied van bescherming van persoonsgegevens. Veel organisaties weten inmiddels dan ook dat zij wettelijk verplicht zijn een bewerkersovereenkomst af te sluiten als zij persoonsgegevens laten verwerken door een andere partij.

In dit stuk zal onder meer aandacht worden besteed aan het begrip ‘verwerken’ en de onderwerpen die in een bewerkersovereenkomst moeten worden opgenomen. Daarbij zal ook worden aangegeven wat de verschillen zijn tussen de Wet bescherming persoonsgegevens (‘Wbp’) en de Algemene Verordening Gegevensbescherming (‘AVG’), die vanaf 25 mei 2018 van toepassing zal zijn.

Gewijzigde terminologie

Een verantwoordelijke is een organisatie of persoon die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Een bewerker is de partij, die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.

Deze twee begrippen veranderen onder de AVG in verwerkingsverantwoordelijke en verwerker. De betekenis blijft echter nagenoeg ongewijzigd. In de Engelse versie van de AVG blijven deze begrippen overigens hetzelfde (‘controller’ en ‘processor’).

Voor het gemak wordt hierna steeds gesproken over verantwoordelijke, bewerker en bewerkersovereenkomst, maar daarmee worden ook verwerkingsverantwoordelijke, verwerker en verwerkersovereenkomst bedoeld.

Verwerken

Veel organisaties besteden bepaalde delen van hun bedrijfsvoering uit. Denk hierbij aan de salarisadministratie, ziekteverzuimsystemen, klantenservice of ICT. Organisaties die dit deel van de bedrijfsvoering van de verantwoordelijke (deels) voor hun rekening nemen, zijn in de regel bewerker (of verwerker) in de zin van de Wbp en AVG.

Verwerking is namelijk een zeer ruim begrip. Daarvan is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of uitgewist. En wanneer sprake is van verwerking door een bewerker zijn partijen wettelijk verplicht om een schriftelijke bewerkersovereenkomst te sluiten.

Onderwerpen bewerkersovereenkomst

In een bewerkersovereenkomst maken partijen afspraken over de verwerking van persoonsgegevens. Op grond van de Wbp zijn organisaties momenteel enkel verplicht om een drietal onderwerpen in de bewerkersovereenkomst op te nemen, namelijk dat:

  1. de persoonsgegevens slechts in opdracht van de verantwoordelijke verwerkt mogen worden;
  2. de bewerker de beveiligingsverplichtingen nakomt die op grond van de Wbp op de verantwoordelijke rusten; en
  3. de bewerker de verplichtingen nakomt die op de verantwoordelijke rusten als zich een datalek heeft voorgedaan.

De AVG beschrijft veel gedetailleerder wat er in de bewerkersovereenkomst moet staan en benoemt bovendien veel meer onderwerpen. Veel van deze onderwerpen zullen waarschijnlijk ook in uw huidige bewerkersovereenkomst voorkomen, maar deze zullen naar verwachting nog niet geheel in overeenstemming met de tekst van de AVG zijn. Wij raden daarom aan nog eens kritisch te bekijken of onderstaande in uw huidige bewerkersovereenkomst is opgenomen:

  • Schriftelijke instructies

In de eerste plaats moet in een bewerkersovereenkomst staan dat de persoonsgegevens uitsluitend door de bewerker mogen worden verwerkt op basis van schriftelijke instructies van de verantwoordelijke.

Deze schriftelijke instructies zullen grotendeels in de bewerkersovereenkomst zelf zijn opgenomen.

  • Vertrouwelijkheid

Daarnaast dient de bewerker te waarborgen dat de personen die gemachtigd zijn om persoonsgegevens te verwerken, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.

In de praktijk kan de bewerker aan deze verplichting voldoen door een geheimhoudingsbeding in de arbeidsovereenkomst op te nemen of door zijn werknemers een afzonderlijke geheimhoudingsverklaring te laten ondertekenen. Dit is niet nodig als personen op basis van een wettelijke verplichting al aan vertrouwelijkheid zijn gebonden (zoals artsen).

  • Beveiliging

Ten derde moet in de bewerkersovereenkomst worden opgenomen dat de bewerker voldoende passende technische en organisatorische beveiligingsmaatregelen neemt.

Om te beoordelen welke beveiligingsmaatregelen passend zijn, moet onder andere rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, aard, omvang, context en de verwerkingsdoeleinden. Dat betekent bijvoorbeeld dat er strengere beveiligingsmaatregelen zullen moeten geïmplementeerd naarmate er over veel personen persoonsgegevens of bijzondere persoonsgegevens worden verwerkt.

  • Sub-bewerkers

Ook moet in de bewerkersovereenkomst worden vermeld dat een bewerker geen sub-bewerker in dienst mag nemen zonder voorafgaande schriftelijke toestemming van de verantwoordelijke en dat aan een sub-bewerker dezelfde verplichtingen voor de verwerking van persoonsgegevens zullen worden opgelegd als de verplichtingen die voor de bewerker gelden.

  • Verzoeken van betrokkenen

Ten vijfde moet worden opgenomen dat de bewerker bijstand moet verlenen aan de verantwoordelijke bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden. Dit betreft onder meer verzoeken om inzage, correctie, verwijdering en dataportabiliteit.

  • Datalekken en DPIA

De bewerker moet eveneens bijstand verlenen aan de verantwoordelijke wanneer deze een zogenaamde Data Protection Impact Assessment wil (laten) uitvoeren of wanneer een datalek is ontstaan dat moet worden gemeld bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Ook dit moet als zodanig in de bewerkersovereenkomst worden geregeld.

  • Einde bewerkersovereenkomst

Verder moet in de bewerkersovereenkomst staan dat de bewerker, afhankelijk van de keuze van de verantwoordelijke, alle persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert na afloop van de verwerkingsdiensten.

  • Audits

Tot slot moet de bewerker alle informatie aan de verantwoordelijke ter beschikking stellen die nodig is om de nakoming van zijn verplichtingen uit de AVG aan te tonen. Ook moet in de bewerkersovereenkomst staan dat de bewerker audits, waaronder inspecties, door (een door) verantwoordelijke (gemachtigde controleur) mogelijk moet maken en eraan moet bijdragen.

Wij zijn erg benieuwd hoe grote (cloud)leveranciers gaan reageren op deze auditverplichting. Voor grote bedrijven als Google en Amazon zal het immers een onwerkbare situatie opleveren wanneer zij om de haverklap mee moeten werken aan audits. De praktijk zal dit moeten gaan uitwijzen.

Auteur

Expertises

Deel dit artikel

Meer blogs

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

/LEES MEER

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

/LEES MEER

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.