Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Als je een gegevensverwerking uitbesteedt aan een derde partij, ben je verplicht om in een zogenaamde bewerkersovereenkomst af te spreken dat de andere partij even zorgvuldig omgaat met de gegevens als jijzelf.

Deze bewerkersovereenkomst was al een verplichting onder de Wet bescherming persoonsgegevens (Wbp). De komst van de AVG geeft aanleiding om heel goed naar bestaande bewerkersovereenkomsten te kijken, want:

  • De AVG heeft als uitgangspunt dat partijen zelf moeten aantonen dat de gegevensbescherming veilig, transparant en conform wet- en regelgeving is geregeld;
  • In de tekst van de AVG staat veel gedetailleerder beschreven welke onderwerpen opgenomen moeten zijn in de bewerkersovereenkomst;
  • Jouw risico als er iets misgaat in de gegevensverwerking bij jouw bewerker, is exponentieel gegroeid. Dit komt door de enorme verhoging van de mogelijke boetes en de vergrote slagkracht van de Autoriteit Persoonsgegevens.

Maar waar te beginnen? Ik bespreek de belangrijkste aandachtspunten in de bewerkersovereenkomsten.

1. Maak afspraken over datalekken

Wanneer je een gegevensverwerking laat uitvoeren door een bewerker, blijf je zelf verantwoordelijk voor deze verwerking. Dat betekent dat wanneer een datalek plaatsvindt bij die bewerker jij als verantwoordelijke verplicht bent om dit datalek binnen 72 uur – na ontdekking ervan door je bewerker – te melden bij de AP. En - niet onbelangrijk – dat de boete ook bij jou terecht komt en niet bij de bewerker. Het is daarom van groot belang om goede afspraken te maken over het melden van datalekken.

Zelf neem ik altijd in de bewerkersovereenkomst op dat de bewerker een datalek onverwijld meldt bij de verantwoordelijke, direct maatregelen treft om het lek te dichten en verder alle medewerking verleent aan de verdere afhandeling van het datalek en de melding. Tevens kun je ervoor kiezen om een bepaling op te nemen over het verhalen van een eventuele boete bij de bewerker, als door hem verwijtbaar is gehandeld. Dit kan ook geïncorporeerd worden in de algemene bepaling over aansprakelijkheid. Vaak neemt men een maximale aansprakelijkheid van € 820.000,- op. Niet geheel toevallig ook het maximale bedrag van de boete die de AP kan opleggen.

2. Beschrijf het doel van de verwerking

In de bewerkersovereenkomst moet je het doel van de verwerking opnemen, oftewel wat wil de verantwoordelijke (niet de bewerker!) met deze verwerking bereiken? Dit doel moet passen binnen een van de grondslagen van artikel 6 van de AVG, anders mag je de gegevensverwerking helemaal niet uitvoeren.

Ter illustratie, in de overeenkomst wordt dus opgenomen dat de gemeente Lutjebroek door organisatie X persoonsgegevens laat verwerken om spijbelende kinderen terug te krijgen in het onderwijs (doel) en deze gegevensverwerking is daarmee noodzakelijk voor de gemeentelijke taak op grond van de Leerplichtwet (grondslag). Let op, zoals ik in mijn artikel ‘De privacybezem door de organisatie’ al besprak, kunnen overheidsinstellingen de grondslag ‘gerechtvaardigd belang’ niet meer inroepen.

3. Beschrijf soort gegevens en doelgroep

De AVG dwingt partijen om precies aan te geven welke gegevens de bewerker verwerkt. Een algemene omschrijving van de verwerking waaruit dan maar moet blijken welke gegevens het betreft, volstaat niet meer. Er moet een opsomming worden opgenomen van de persoonsgegevens die je verwerkt én de doelgroep moet duidelijk omschreven zijn. Houd daarbij voor zowel de gegevens, als de doelgroep het principe van dataminimalisatie voor ogen: verzamel alleen die gegevens van die personen die noodzakelijk zijn voor het doel van de verwerking.

4. Maak afspraken over de afloop van de diensten

Wat nog wel eens vergeten wordt, zijn afspraken over het vernietigen van gegevens, als de bewerker niet langer zijn diensten verleent. De AVG schrijft dit dwingend voor. Zelf vind ik het altijd een loze letter om een bepaling op te nemen in de bewerkersovereenkomst dat de gegevens worden teruggeleverd. Anders dan in het pre-digitale tijdperk, waarin gewaarmerkte lijsten met persoonsgegevens werden verstrekt en teruggeleverd, biedt de teruglevering van digitale bestanden geen enkele garantie dat de bewerker de gegevens niet meer in zijn bezit heeft. Bovendien heeft de verwerker zelf de gegevens hoogstwaarschijnlijk ook nog in bezit. Wat met het terugleveren van gegevens gebeurt, is dat er een extra bestand met persoonsgegevens wordt gecreëerd. De kans dat dit bestand gaat rondzwerven maakt dat het risico op een datalek enorm toeneemt.

Zelf adviseer ik om een bepaling op te nemen dat de bewerker direct na beëindiging van de afgesproken werkzaamheden (en dat geldt ook voor tussentijdse beëindiging) de verplichting heeft om alle persoonsgegevens direct te vernietigen. Als verantwoordelijke kun je dit laten aantonen of je houdt jezelf het recht voor om dit te controleren.

5. Let op aangepaste terminologie

In mijn artikel ‘De 5 belangrijkste ontwikkelingen van de AVG voor gemeenten’ wees ik er al op: in de AVG worden andere termen gebruikt dan in de Wbp. De belangrijkste wijzigingen zijn ‘verwerkingsverantwoordelijke’ in plaats van ‘verantwoordelijke’ en ‘verwerker’ in plaats van ‘bewerker’. Een ‘bewerkersovereenkomst’ wordt dus een ‘verwerkersovereenkomst’. Als je dan toch bezig bent met het aanpassen van de overeenkomsten, neem deze wijziging dan direct mee.

Over de reden van deze verandering van terminologie – die een keuze is geweest van de vertaler, de Engelse termen zijn onveranderd – tast ik nog in het duister. Mochten er lezers zijn die hierover meer weten, ik houd me aanbevolen!

Gerelateerde artikelen
Alle artikelen