Factsheet Bewerkersovereenkomst

Transcriptie

1 Factsheet Bewerkersovereenkomst Bij het verwerken van persoonsgegevens maken veel partijen gebruik van een externe dienstverlener voor het verwerken van deze persoonsgegevens. Verwerken is een breed begrip, het kan gaan van gegevens inzien en opslaan tot gegevens bijwerken en vernietigen. De partij die gegevens verwerkt ten behoeve van een verantwoordelijke is aan te merken als bewerker in de zin van Wet bescherming persoonsgegevens (Wbp). Wanneer de verwerking van persoonsgegevens geschiedt door een bewerker, verlangt de Wbp dat de verantwoordelijke afspraken met deze bewerker maakt over de wijze waarop de persoonsgegevens door de bewerker mogen worden verwerkt. Het schriftelijk vastleggen van deze afspraken gebeurt in een zogenaamde bewerkersovereenkomst. De huidige Wbp stelt eisen aan de bewerkersovereenkomst, volgend uit onder meer de Richtsnoeren Beveiliging Persoonsgegevens van de Autoriteit Persoonsgegevens. Met de aankomende Algemene Verordening Gegevensbescherming ( AVG, welke van toepassing wordt per 25 mei 2018) worden de vereisten die de wetgever stelt aan de bewerkersovereenkomst aangescherpt. Ook kan onder de AVG door de toezichthouder een boete van maximaal 10 miljoen euro of 2% van de jaarlijkse omzet worden opgelegd bij het ontbreken van afspraken tussen een verantwoordelijke en een bewerker. Het is dus verstandig om als organisatie op deze nieuwe wetgeving te anticiperen. Wanneer u, als verantwoordelijke, een nieuwe bewerker voor uw verwerkingen gaat inschakelen of opnieuw gaat onderhandelen over uw bestaande bewerkersovereenkomst, is het aan te raden de vereisten van de Algemene Verordening Gegevensbescherming hierin reeds mee te nemen. Considerati heeft voor u op een rijtje gezet aan welke eisen een bewerkersovereenkomst volgens de Algemene Verordening

2 Gegevensbescherming (AVG) moet voldoen. De eisen met een * houden een nieuwe verplichting onder de AVG in. Omschrijving van de persoonsgegevens/onderwerp van de overeenkomst In het eerste gedeelte van de bewerkersovereenkomst dient een omschrijving van de inhoud, de duur van de verwerking, het doel van de verwerking, soorten persoonsgegevens en categorieën van betrokkenen te worden opgenomen. Tevens omschrijft dit gedeelte ook de rechten en plichten van de verantwoordelijke jegens de bewerker. De dienstverlening door de bewerker De bewerkersovereenkomst moet beschrijven welke diensten de bewerker verleent met betrekking tot de persoonsgegevens (voor de verantwoordelijke). Er zullen afspraken gemaakt moeten worden omtrent de geheimhouding van de persoonsgegevens en over de geheimhouding van de personen die ten behoeve van de diensten werken met deze persoonsgegevens. De betrouwbaarheidseisen die op de verwerking van toepassing zijn Persoonsgegevens kunnen onder verschillende categorieën worden onderverdeeld. Voor ieder van de verschillende categorieën dienen afspraken vastgelegd te worden in de bewerkersovereenkomst. De beveiliging en continuïteit door de bewerker In de bewerkersovereenkomst moeten afspraken worden gemaakt betreffende de (technische en organisatorische) beveiliging van de persoonsgegevens om zorg te dragen voor de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens. De afspraken mogen niet algemeen zijn en moeten gedetailleerd worden vastgelegd.

3 Transparantie over de beveiliging De bewerker en de verantwoordelijke moeten ook afspraken maken over de rapportages over de beveiliging. In de bewerkersovereenkomst dienen de inhoud en de frequentie van de rapportages te worden vastgelegd. Ook moet de verantwoordelijke het recht hebben om de gehanteerde beveiligingseisen door de bewerker door een deskundige te laten inspecteren. (Transparantie over) beveiligingsincidenten en datalekken Transparantie ziet op de inhoud van de rapportages van beveiligingsincidenten en de snelheid waarmee moet worden gerapporteerd. Als zich een beveiligingsincident heeft voorgedaan is het belangrijk dat er wordt gerapporteerd aan de verantwoordelijke en eventueel de betrokkenen. In de afspraken moet worden opgenomen dat en op welke wijze de bewerker beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen meteen rapporteert aan de verantwoordelijke. Tevens moet worden vastgelegd dat de bewerker bij een beveiligingsincident waar nodig meewerkt aan het adequaat informeren van betrokkenen. Verwerking van de persoonsgegevens buiten Nederland Een ander belangrijk onderdeel van de bewerkersovereenkomst ziet op afspraken over welke persoonsgegevens in welke landen worden verwerkt (met name van belang: opgeslagen) en onder welke voorwaarden. Let op: wanneer persoonsgegevens buiten de EU worden verwerkt zijn extra waarborgen voor de verwerking van de persoonsgegevens vereist. Het doorgeven van persoonsgegevens buiten de EU mag alleen wanneer dit land of de organisatie voldoende bescherming biedt. Verwerking door sub-bewerkers Er moet overeenstemming bereikt worden over het al dan niet toestaan van verwerking door sub-bewerkers. Wanneer een bewerker de verwerking van (een deel van de) persoonsgegevens uitbesteedt aan een derde partij, dan wordt deze

4 partij een sub-bewerker genoemd. Voor het in dienst nemen van een subbewerker door een bewerker is specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke nodig. Voorwaarden voor wijzigingen, heronderhandeling of beëindiging van de overeenkomst In de bewerkersovereenkomst moeten afspraken worden opgenomen over de heronderhandeling of beëindiging van de bewerkersovereenkomst. Ook een noodplan voor het geval één van de partijen de bewerkersovereenkomst wilt beëindigen dient opgenomen te worden. Verder wordt hierin vastgelegd hoe de verantwoordelijke, na beëindiging van de dienstverlening door bewerker, de verwerkte persoonsgegevens weer ter beschikking krijgt. Ook moet er worden vastgelegd hoe wordt gewaarborgd dat de bewerker na het beëindigen van de bewerkersovereenkomst niet meer over de persoonsgegevens kan beschikken. Geheimhouding* Afspraken omtrent de geheimhouding van de persoonsgegevens en over de geheimhouding van de personen die ten behoeve van de diensten uitvoering geven aan de gegevensverwerking. Verzoeken van betrokkenen* In de overeenkomst dienen afspraken te worden gemaakt over de wijze waarop de bewerker zijn medewerking dient te verlenen aan verzoeken van betrokkenen om inzage, correctie en verwijdering van zijn/haar persoonsgegevens waar de bewerker toegang tot heeft. Bewaartermijnen, back-up en vernietiging (bij beëindiging van de bewerkersovereenkomst)* Het is nodig afspraken op te nemen in de bewerkersovereenkomst omtrent de bewaartermijnen, reservekopieën en vernietiging van de persoonsgegevens.

5 Aansprakelijkheid* De aansprakelijkheidsverdeling van verantwoordelijke en bewerker voor de schade voortvloeiende uit het niet nakomen van de afspraken die zijn vastgelegd in de bewerkersovereenkomst moet worden geregeld. Controle en audits* Tot slot dienen er afspraken te worden gemaakt over de mogelijkheid voor de verantwoordelijke om te kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Daarnaast moeten de mogelijkheden over het uitvoeren van audits worden vastgelegd. Verder dient in de bewerkersovereenkomst aandacht te worden besteed aan de rangorde van overeenkomsten tussen verantwoordelijke en bewerker en het toepasselijk recht. Wilt u weten of uw huidige bewerkersovereenkomst voldoet aan nieuwe eisen uit de AVG of wilt u een nieuwe bewerkersovereenkomst laten opstellen? Considerati kan u hiermee verder helpen. Neem dan vrijblijvend contact op met: Nathalie Falot Senior Juridisch Consultant [email protected] Iris Tasevski Juridisch consultant [email protected] U kunt ook altijd bellen met telefoonnummer