De bewerkersovereenkomst. Wat is dat voor een beest?

Binnen het domein van privacy blijkt geen enkele overeenkomst zo onbekend als deze. Nochtans is het hanteren ervan wettelijk verplicht! Waar gaat deze overeenkomst over en wie dient ervoor te zorgen?

Het blijft me verbazen hoe weinig is geweten van de wettelijke verplichtingen onder de Wet Bescherming Persoonsgegevens (afgekort Wbp of ook de privacywet). Dat geldt zelfs voor organisaties die dagelijks persoonsgegevens verzamelen. En één van de zwarte gaten uit die privacywet is zonder twijfel debewerkersovereenkomst. Zelfs IT dienstverleners kijken me onwetend aan als ik deze ter sprake breng.

Voor de volledigheid : De privacywet speelt zodra persoonsgegevens worden verwerkt. Met andere woorden zodra iets wordt gedaan met gegevens die terug te leiden zijn tot een individu.

Ieder van ons laat zijn persoonsgegevens achter bij ontelbaar veel organisaties en bedrijven. Deze zijn allemaal `verantwoordelijken` in de zin van de Wbp (privacywet). Denk aan de videotheek om de hoek, uw apotheek, woningvereniging of de webwinkel waar u laatst bestellingen plaatste. Zij bepalen met welke middelen en voor welk doel onze persoonsgegevens worden verwerkt.

Deze verantwoordelijken kunnen de gegevens van hun klanten laten bewerken/opslaan. Dat kunnen ze laten doen door een hostingprovider of SAAS dienstverlener die onrechtstreeks dus ook toegang krijgt tot die persoonsgegevens.

De hostingprovider of SAAS dienstverlener handelt in opdracht van de verantwoordelijke en wordt onder de privacywet de bewerkergenoemd. De bewerker heeft wettelijk gezien (artikel 12 Wbp) een plicht tot geheimhouding over de persoonsgegevens die hij verwerkt.

Artikel 14 Wbp schrijft voor dat de verantwoordelijke, als hij persoonsgegevens laat verwerken door een bewerker, moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft. Die maatregelen moeten zo krachtig zijn dat verlies en onrechtmatige verwerking van de persoonsgegevens uitgesloten wordt (artikel 13 Wbp).

Nu is het wettelijk zo dat de afspraken die de verantwoordelijke met de bewerker maakt over de bescherming en de beveiliging van persoonsgegevens schriftelijk moeten worden vastgelegd. En hier komt de bewerkersovereenkomst om de hoek kijken!

Iedere organisatie die persoonsgegevens laat verwerken moet zijn hostingprovider, softwareleverancier of SAAS dienstverlener dus vragen om een bewerkersovereenkomst.

Kan de IT leverancier die overeenkomst niet voorleggen, dan is het juridisch gezien de verantwoordelijkheid van de verantwoordelijkedat die er toch komt. De organisatie moet in dat geval dus zelf aan de slag met een bewerkersovereenkomst.

Ook moet de verantwoordelijke er op toezien dat de bewerker ook doet wat hij belooft. Dit kan de verantwoordelijke controleren aan de hand van een Third Party Memorandum (TPM). Mijn collega Arnoudlegde eerder al uit waarvoor TPM staat. Dit is een verklaring van een onafhankelijke externe deskundige over de maatregelen die een bewerker heeft getroffen. Zo krijgt de verantwoordelijken inzicht in de getroffen maatregelen, zonder dat hij er zelf onderzoek naar hoeft te (laten) doen.



Louise Dancet
is juridisch adviseur bij ICTRecht en master in de rechten. Haar loopbaan startte zij als advocaat-stagiair in 2005, waarna zij aan de balie te Brussel vijf jaar pleitervaring opdeed. Mr. Dancet werd vooral gevormd door het contractenrecht en concentreert zich – sinds haar overstap naar Amsterdam – op complexere IT vraagstukken en privacy. Sinds april 2011 is zij verbonden aan ICTRecht. Naast schrijven en spreken houdt Louise ervan om een commercieel haalbare oplossing te vinden voor opdrachtgevers die zich in een conflict bevinden. Om die reden lanceerde zij halverwege 2012 de dienst Mediation binnen ICTRecht.

Nog op zoek naar een model bewerkersovereenkomst? Binnenkort kan u de bewerkersovereenkomst automatisch genereren op de website van ICTRecht.

Dit artikel was 19 oktober 2012 op de blog van ICTRecht te lezen en is met toestemming op deze website overgenomen.

Over Louise Dancet