VEELGESTELDE VRAGEN OVER DE BEWERKERSOVEREENKOMST
Veelgestelde vragen over de bewerkersovereenkomst Wat is een bewerkersovereenkomst? Een bewerkersovereenkomst is wettelijk verplicht wanneer een partij (de verantwoordelijke ) het verwerken van persoonsgegevens aan een andere partij (de bewerker ) wil uitbesteden (artikel 14 Wet Bescherming Persoonsgegevens, Wbp ). Met deze overeenkomst leggen partijen vast voor welke doeleinden de persoonsgegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen, welke vormen van toezicht de eigenaar van de persoonsgegevens mag uitoefenen en hoe het zit met de onderlinge aansprakelijkheid. De SURF modelbewerkersovereenkomst dient als voorbeeld bij het maken van afspraken met leveranciers (in de rol van bewerker). Waarom ontvang ik een mail met een bewerkersovereenkomst? Je hebt een licentie (besteld) voor een product of dienst waarvoor een bewerkersovereenkomst noodzakelijk is. SURFmarket heeft deze voor je opgesteld en al door de leverancier laten ondertekenen. Ik heb een mail met een bewerkersovereenkomst ontvangen. Wat nu? De bewerkersovereenkomst kan door je instelling ondertekend worden. Wij adviseren je om deze eerst te laten beoordelen door een functionaris gegevensbescherming, privacy officer of privacy jurist en vervolgens te laten ondertekenen door de juiste persoon binnen je instelling. Wat moet ik doen als de bewerkersovereenkomst getekend is? De getekende bewerkersovereenkomst (door zowel leverancier als instelling) dient te worden gedigitaliseerd en vervolgens binnen Mijn SURFmarket te worden geüpload, bij het licentieoverzicht. De betreffende leverancier krijgt dan bericht dat deze een bewerkersovereenkomst met je instelling heeft en dient zich aan de inhoud daarvan te houden. Hoe lang loopt de bewerkersovereenkomst? De bewerkersovereenkomst is gekoppeld aan de licentieovereenkomst van je instelling en gelijk aan de duur daarvan. Waarom ondertekent SURFmarket de bewerkersovereenkomst niet namens mijn instelling? In de ogen van de Wet Bescherming Persoonsgegevens (Wbp) of de Algemene Verordening Gegevensbescherming (AVG) is je instelling verantwoordelijk voor de persoonsgegevens die door je instelling worden verstrekt aan derde partijen. De bewerkersovereenkomst dient altijd tussen de verantwoordelijke en de bewerker te worden afgesloten. In het geval van een datalek, meldt SURFmarket deze dan bij de Autoriteit Persoonsgegevens? Nee, tenzij SURFmarket zelf verantwoordelijk is (in de zin van de Wbp). De leverancier is dankzij de bewerkersovereenkomst verplicht om na constatering van een datalek dit binnen de afgesproken tijd aan je instelling te melden. Als verantwoordelijke moet je instelling de Autoriteit Persoonsgegevens op de hoogte te stellen (binnen 72 uur na constatering van het lek). In de bewerkersovereenkomst staat (vaak) een auditverplichting. Voert SURFmarket die uit? Over het algemeen stelt SURFmarket wel de risicoklasse vast en toetst SURFmarket de leverancier op informatiebeveiliging. Dit houdt in dat SURFmarket, afhankelijk van het soort data, de leverancier vraagt om een certificering of TPM (audit verklaring) aan te leveren en deze vervolgens beoordeelt. Het kan zijn, dat de leverancier verder geen audits van individuele instellingen toestaat. We streven er natuurlijk naar om zoveel mogelijk het audit-recht van een instelling te borgen. Hiervoor verwijzen we je naar de betreffende clausule in de bewerkersovereenkomst. Komt de bewerkersovereenkomst altijd volledig overeen met de modelbewerkersovereenkomst van SURF? Niet altijd. In de gesprekken die SURFmarket voert met de leverancier is dat wel altijd het uitgangspunt. Helaas wordt de SURF modelbewerkersovereenkomst soms niet volledig geaccepteerd en worden er wijzigingen in aangebracht. 2
Is het makkelijk te zien waar de wijzigingen t.o.v. de model bewerkersovereenkomst van SURF zijn doorgevoerd? In de uiteindelijke bewerkersovereenkomst staat niet specifiek aangegeven waar de wijzigingen zitten. Mocht een overeenkomst inhoudelijk niet overeenkomen met het model, dan hebben wij een compliance statement opgesteld. Is mijn instelling verplicht de aangeleverde bewerkersovereenkomst van SURFmarket te gebruiken? Nee. SURFmarket kan een instelling nooit verplichten deze of een andere bewerkersovereenkomst te gebruiken. Het sluiten van een bewerkersovereenkomst, indien nodig, valt volledig onder de verantwoordelijkheid van een instelling. Een instelling is daarom altijd vrij om zelf met een leverancier een bewerkersovereenkomst te sluiten. We hebben geprobeerd om met de leverancier een zo goed mogelijk resultaat te behalen. Door het beschikbaar stellen van een bewerkersovereenkomst die al getekend is door een leverancier, proberen we je instelling maximaal te ondersteunen en werk uit handen te nemen. Mijn instelling heeft zelf al een bewerkersovereenkomst met deze leverancier. Moeten we alsnog de bewerkersovereenkomst aangeleverd door SURFmarket gebruiken? Nee, je instelling heeft hierin een keuze. De bewerkersovereenkomst met een leverancier blijft gelden. Je kunt er natuurlijk wel voor kiezen alsnog de aangeleverde bewerkersovereenkomst te gaan gebruiken. In die situatie kunnen er mogelijk wel dubbelingen of tegenstrijdigheden ontstaan tussen de twee bewerkersovereenkomsten. Daar moet je alert op zijn. Wat als mijn instelling geen bewerkersovereenkomst sluit? Je instelling loopt dan mogelijk (financiële) risico s. We adviseren je om bij zo n besluit altijd een privacy jurist of privacy officer van je instelling te betrekken. 3
Kan de inhoud van de bewerkersovereenkomst veranderen? Ja, dat kan. Als een leverancier diensten toevoegt of een dienst aanpast, is het soms noodzakelijk de bewerkersovereenkomst aan te passen. Versiebeheer is daarom erg belangrijk. Aangezien een bewerkersovereenkomst gekoppeld is aan een licentieovereenkomst, is het verstandig bij het sluiten van een nieuwe licentie altijd de daarbij behorende bewerkersovereenkomst te tekenen. Is een bewerkersovereenkomst alleen nodig bij een clouddienst? Nee, er zijn situaties waarin zelfs voor een oplossing binnen het datacenter van je instelling een bewerkersovereenkomst nodig is. Je kunt dan denken aan remote-access (voor ondersteuning), koppelingen met de leverancier, of andere diensten waarvoor het verstandig is een bewerkersovereenkomst te hebben. Houdt SURFmarket de order vast totdat mijn instelling de bewerkersovereenkomst getekend heeft? Nee. We laten het orderproces hier niet door beïnvloeden. Het is daarom wel van belang dat je instelling zo snel mogelijk de bewerkersovereenkomst tekent of zelf een bewerkersovereenkomst met de leverancier sluit. We raden aan om in overweging te nemen de dienst van een leverancier nog niet te gebruiken zolang een getekende bewerkersovereenkomst tussen de instelling en leverancier ontbreekt. Waarom wacht SURFmarket niet met de bestelling tot mijn instelling de bewerkersovereenkomst heeft getekend? Daarvoor zijn meerdere redenen. De meest voor de hand liggende is dat wij niet zeker weten of je instelling de door ons aangeleverde bewerkersovereenkomst wil gaan gebruiken. Daarnaast kan het zijn dat de interne klant met spoed de oplossing nodig heeft, en het soms even kan duren voordat je interne organisatie akkoord heeft gegeven op de bewerkersovereenkomst. Houd wel in de gaten dat, als je de oplossing gebruikt zonder dat er een getekend exemplaar is van de bewerkersovereenkomst, je instelling een risico loopt. Mogen wij de aangeleverde bewerkersovereenkomst wijzigen? Nee. Het door SURFmarket aangeleverde exemplaar is inhoudelijk besproken met de leverancier en door de leverancier ondertekend. Als je het niet eens bent met de inhoud dan verzoeken we je om contact op te nemen met SURFmarket of zelf te schakelen met de leverancier. Mijn instelling is de bewerkersovereenkomst die via SURFmarket is afgesloten kwijt. Waar kan ik een exemplaar terugvinden? De contactpersoon software kan de getekende exemplaren terugvinden bij het licentieoverzicht binnen Mijn SURFmarket. Mijn instelling heeft een product of dienst bij SURFmarket afgenomen, en we krijgen geen (melding voor een) bewerkersovereenkomst terwijl we denken dat die wel nodig is. Wat nu? SURFmarket is erg zorgvuldig geweest, maar het kan altijd gebeuren dat er iets over het hoofd is gezien. Wil je het direct aan SURFmarket melden? Dan wordt het met de hoogste prioriteit uitgezocht. Indien nodig wordt alsnog gezorgd voor een bewerkersovereenkomst. Is een DPA hetzelfde als een bewerkersovereenkomst? Ja, DPA is de Engelse afkorting voor Data Processing Agreement. Dit is hetzelfde als een bewerkersovereenkomst. De bewerkersovereenkomst die mijn instelling heeft ontvangen is in het Engels. Kan SURFmarket deze aanleveren in het Nederlands? De Nederlandse versie heeft de voorkeur. Helaas is het bij sommige leveranciers niet mogelijk (vaak omdat hun juridische mensen de Nederlandse taal niet machtig zijn). Omdat het een overeenkomst is die mogelijk verstrekkende gevolgen kan hebben voor de leverancier, is het belangrijk dat de leverancier exact weet wat hun plichten zijn. Mijn vraag staat hier niet tussen, wat nu? Je kunt altijd contact opnemen met de License Desk Software & Cloud: mail naar software@surfmarket.nl of bel +31-887873701. 4