De bewerkersovereenkomst

Transcriptie

1 De bewerkersovereenkomst Astrid Gobardhan Advocaat/Corporate Privacy Counsel Naspers April

2 Inhoud Bewerkersovereenkomst Elementaire aandachtspunten PIA Elementaire aandachtspunten 2

3 BEWERKERSOVEREENKOMST Bij inschakeling van derden schrijft de wet voor dat afspraken met de bewerker contractueel zijn vastgelegd. De verantwoordelijke blijft ook bij uitbesteding verantwoordelijk voor de verwerking van persoonsgegevens. Het is dus noodzakelijk om veel aandacht te besteden aan het bewerkerscontract. Contractuele vastlegging kan ook als onderdeel van de hoofdovereenkomst. Een bewerkersovereenkomst is echter gebruikelijk. Algemene aspecten Is de contractant bewerker of (mede) verantwoordelijke (WP 169); Is er een contract met de bewerker; Is het contract mede specifiek gericht op de verwerking van persoonsgegevens; Is het de bewerker toegestaan gegevens te bewaren of gebruiken voor eigen doeleinden (bewijsdoeleinden of commerciële doeleinden, zoals big data onderzoek) zodat hij daarvoor verantwoordelijke wordt; Bevindt de bewerker zich binnen de EER; Maakt de bewerker deel uit van een organisatie die beschikt over goedgekeurde Binding Corporate Rules voor bewerkers (WP 204 revised); 3

4 BEWERKERSOVEREENKOMST Is de bewerker US Privacy Shield gecertificeerd (Let op: ongeldig verklaring Safe Harborbeschikking door HvJEU 0362/14 Maximillian Schrems v Data Protection Commissioner) (zie checklist 13); Bevat het contract een duidelijke omschrijving van de opgedragen werkzaamheden; Bevat het contract een verwerkingsverbod buiten de opdracht; Worden aanvullende eisen gesteld aan verwerking buiten EU door bewerker; Is rekening gehouden met verwerking van persoonsgegevens in het kader van onderhoud door anderen dan bewerker; Is de bewerker verplicht de verantwoordelijke in staat te stellen zijn verplichtingen na te komen (zoals inzage, correctie, overdragen persoonsgegevens op een gegevensdrager en verwijdering in het kader van bewaarbeleid verantwoordelijke). 4

5 BEWERKERSOVEREENKOMST Kernbepalingen Moet de bewerker meewerken aan onderzoeken door autoriteiten; Beschikt de bewerker over een verklaring van externe auditors omtrent de continuïteit van de dienstverlening (beëindiging van dienst verlening kan leiden tot beschikbaarheidsproblemen en daarmee een overtreding van de beschikbaarheidseis van de Wbp); Bevat de overeenkomst exit-scenario s met regels voor de vernietiging van data; Zijn er contactpersonen bij opdrachtgever en bewerker benoemd voor spoedeisende kwesties. 5

6 BEWERKERSOVEREENKOMST Sub-bewerker Mag de bewerker een sub-bewerker inschakelen; Is toestemming van de opdrachtgever vereist voor inschakeling van een sub-bewerker; Worden aanvullende eisen gesteld aan verwerking buiten de EER door een sub-bewerker; Is er rekening gehouden met verwerking van persoonsgegevens in het kader van onderhoud bij sub-bewerker door anderen dan sub-bewerker. 6

7 BEWERKERSOVEREENKOMST Beveiliging Is er aan de bewerker een duidelijke omschrijving gegeven van de door de opdrachtgever geëiste beveiligingsvoorwaarden (zie ook AP richtsnoeren beveiliging van persoonsgegevens); Worden er gegevens versleuteld opgeslagen bij bewerker (bijvoorbeeld medische gegevens); Zijn de gestelde beveiligingseisen conform het beveiligingsbeleid van opdrachtgever zelf; Wordt de opdrachtgever in staat gesteld de naleving van de beveiligingseisen te controleren; Beschikt bewerker over up-to-date verklaringen van externe auditors over de naleving van de beveiligingsafspraken. 7

8 BEWERKERSOVEREENKOMST Datalekken Bevat het contract een regeling voor beveiligingsincidenten; Is de bewerker verplicht onverwijld alle medewerking te geven aan een feitenonderzoek door verantwoordelijke in geval van beveiligingsincidenten. Voorbeeld: De Bewerker is met het oog op artikel 13 van de Wbp verplicht onverwijld, doch uiterlijk binnen 24 uur een schriftelijke en telefonische melding te maken aan Verantwoordelijke indien er sprake is van een Datalek. De schriftelijke melding door Bewerker bevat tenminste de volgende gegevens: a) een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan; b) van het aantal personen (minimaal en maximaal) wiens Persoonsgegevens zijn betrokken bij het Datalek; c) omschrijving van de groep mensen van wie persoonsgegevens zijn betrokken; d) de datum en tijdstip waarop de Datalek plaatsvond; e) de aard van de Datalek; f) omschrijving van de type gegevens die betrokken zijn; g) omschrijving van de bijzondere gegevens die betrokken zijn (bijvoorbeeld ras, strafbare gegevens, etc); h) welke technische en organisatorische maatregelen er getroffen zijn om de Datalek aan te pakken en om verdere Datalekken te voorkomen h) overige relevante gegevens die van belang kunnen zijn; Bewerker verplicht zich mee te werken aan alle in het kader van artikel 13 Wbp uitgebrachte richtsnoeren en aanwijzingen van de Autoriteit Persoonsgegevens in het kader van een Datalek bij Bewerker. 8

9 BEWERKERSOVEREENKOMST Voorbeeld: De Bewerker is met het oog op artikel 13 van de Wbp verplicht onverwijld, doch uiterlijk binnen 24 uur een schriftelijke en telefonische melding te maken aan Verantwoordelijke indien er sprake is van een Datalek. De schriftelijke melding door Bewerker bevat tenminste de volgende gegevens: a) een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan; b) van het aantal personen (minimaal en maximaal) wiens Persoonsgegevens zijn betrokken bij het Datalek; c) omschrijving van de groep mensen van wie persoonsgegevens zijn betrokken; d) de datum en tijdstip waarop de Datalek plaatsvond; e) de aard van de Datalek; f) omschrijving van de type gegevens die betrokken zijn; g) omschrijving van de bijzondere gegevens die betrokken zijn (bijvoorbeeld ras, strafbare gegevens, etc); h) welke technische en organisatorische maatregelen er getroffen zijn om de Datalek aan te pakken en om verdere Datalekken te voorkomen h) overige relevante gegevens die van belang kunnen zijn; Bewerker verplicht zich mee te werken aan alle in het kader van artikel 13 Wbp uitgebrachte richtsnoeren en aanwijzingen van de Autoriteit Persoonsgegevens in het kader van een Datalek bij Bewerker. Bewerker vrijwaart de Verantwoordelijke voor alle schade, daaronder begrepen eventuele boetes en schadeclaims van betrokkenen die Verantwoordelijke lijdt tengevolge van een Datalek bij Bewerker 9

10 BEWERKERSOVEREENKOMST Overige aandachtspunten Informeert de bewerker de verantwoordelijke bij het opvragen van gegevens door de autoriteiten; Bevat de overeenkomst een vendor lock-in verbod (vendor lock-in is het verschijnsel dat een klant zo zeer afhankelijk raakt van een leverancier dat afscheid nemen of overstappen niet langer mogelijk is zonder grote financiële gevolgen); Is er een change request-procedure bij wijzigingen in regelgeving of de uitleg daarvan; Is bewerker bereid afspraken aan te passen bij wijzigingen van policies bij verantwoordelijke (bijvoorbeeld op verzoek van de ondernemingsraad of in opdracht van FG of Chief Information Officer (CIO) van verantwoordelijke); Hoe is de architectuur van een cloud-omgeving ingeregeld; Kan de bewerker op ieder moment uitleggen waar de gegevens zich bevinden; Gaat het om uitbesteding van zeer vertrouwelijke gegevens die een organisatie niet wil blootstellen aan inzage door buitenlandse autoriteiten (let op bij cloud-toepassingen); Zie ter illustratie van een cloud-contract: ( 10

11 Privacy Impact Assessment

12 PIA (Artikel 35 AVG) 12

13 PIA (Artikel 35 AVG) 13

14 PIA (Artikel 35 AVG) 14

15 PIA Is iedere verwerking transparant gemaakt naar betrokkene; Is iedere verwerking transparant gemaakt naar interne of externe toezichthouder; Beschikt de organisatie over werkinstructies en een bewustwordingsprogramma; Wordt aan de wettelijke toestemmingseisen voldaan; Is iedere verwerking doelconform; Is de verwerking in strijd met wetgeving (bijvoorbeeld strafrechtelijke gegevens of BSN); Worden niet meer gegevens verwerkt dan noodzakelijk; Zijn gegevens nog up-to-date; Is het need to know principe" ingeregeld; Is er een duidelijke procedure voor inzage / correctie; Zijn de systemen goed beveiligd; Is de datacommunicatie goed beveiligd; 15

16 PIA Is sprake van een duidelijke beschrijving van de interne verdeling van verantwoordelijkheid voor de Verwerkingen (interne Service Level Agreement (SLA)); Vindt bij nieuwe verwerkingen een risico analyse / PIA plaats; Wordt privacy by design toegepast; Wordt bij risicovolle verwerkingen voorafgaand onderzoek aangevraagd; Is er een deugdelijk contract met de bewerker; Worden de eigen policies van de organisatie met betrekking tot beveiliging nageleefd; Worden de eigen policies van de organisatie met betrekking tot de verwerking van persoonsgegevens nageleefd; Worden beveiligingsincidenten gemeld en correct afgehandeld; Worden incidenten en klachten geëvalueerd (gebeurt er intern ook iets mee). 16

17 PIA Guidelines WP 29 4 april