Wanneer u persoonsgegevens van cliënten of medewerkers verwerkt, moet u zich houden aan de Wet Bescherming Persoonsgegevens. Als een derde partij, zoals een softwareleverancier, mogelijk toegang heeft tot die gegevens blijft u verantwoordelijk. U bent verplicht om een bewerkersovereenkomst met deze derde te sluiten. Wat moet u daarin allemaal regelen?
Zorgvuldig omgaan met persoonsgegevens
De Wet Bescherming Persoonsgegevens (Wbp) bepaalt wat persoonsgegevens zijn, hoe u met deze gegevens om moet gaan en waarvoor u ze mag gebruiken. Het doel van deze wet is om de privacy van burgers, een grondrecht, te beschermen.
Volgens de wet moeten persoonsgegevens zorgvuldig worden verwerkt en passend worden beveiligd (art. 13 Wbp). Het beschermingsniveau moet hierbij in verhouding staan tot de te verwerken gegevens. Dit vereist maatregelen in uw eigen organisatie.
Samenwerken met andere partijen
Als een andere partij namens uw organisatie persoonsgegevens verwerkt, blijft u verantwoordelijk en aansprakelijk. U bent verplicht om afspraken met deze derde te maken over onder meer het gebruik van de gegevens, de beveiliging en uw toezicht daarop (art. 14 Wbp). Deze afspraken worden vastgelegd in een zogenaamde bewerkersovereenkomst.
Verwerken is een ruim begrip; als een derde partij bij de door u verzamelde persoonsgegevens kan, wordt deze voor de wet al gezien als “verwerker”. Als u software gebruikt die “in de cloud” draait, dus op de server van de leverancier, dan is deze leverancier “verwerker”. Hetzelfde geldt voor de partij die uw papiervernietiging doet. Een bewerkersovereenkomst is dan verplicht.
Risico’s van externe verwerking
U bent verantwoordelijk voor naleving van de Wet Bescherming Persoonsgegevens door derde partijen. U moet daar niet alleen afspraken over maken, maar ook toezicht op houden. Als er bij de softwareleverancier een datalek ontstaat, waardoor gegevens in verkeerde handen kunnen vallen, bent u aansprakelijk. De Autoriteit Persoonsgegevens kan hiervoor forse boetes uitdelen.
Het is dan ook essentieel om afspraken te maken over het voorkomen van datalekken en de aansprakelijkheid voor geleden schade. In de praktijk stellen leveranciers vaak een overeenkomst voor waarin aansprakelijkheid voor uw schade wordt uitgesloten, weinig inzicht wordt gegeven in genomen beveiligingsmaatregelen en weinig mogelijkheid tot toezicht wordt geboden.
Checklist bewerkersovereenkomst
Het is raadzaam om een concept overeenkomst door te nemen, of nieuw op te stellen, vanuit uw positie als verantwoordelijke in relatie tot de bewerker en de wetgeving. In een bewerkersovereenkomst dienen in elk geval de vragen uit deze checklist te worden beantwoord:
- Wie is de verantwoordelijke en wie is de bewerker?
- Om welke persoonsgegevens gaat het?
- Welke verwerking mag de derde partij uitsluitend doen? (opslaan, vernietigen, …)
- Waar worden de persoonsgegevens opgeslagen? (binnen of buiten Europa)
- Welke beveiligingsmaatregelen worden genomen om datalekken te voorkomen?
- Welke mogelijkheden biedt de derde partij tot toezicht op naleving?
- Welke kosten brengt de derde partij in rekening voor medewerking aan toezicht?
- Welke procedure wordt gevolgd bij de constatering van een datalek?
- In hoeverre is de derde partij aansprakelijk voor door u geleden schade door een datalek?
- Is de derde partij voldoende verzekerd voor deze aansprakelijkheid jegens u?
- Welke mate en duur van geheimhouding is van toepassing op de gegevens?
- Mag de derde partij zelf ook onderaannemers inschakelen voor verwerking?
Voorkomen is beter dan genezen
Het hebben van een overeenkomst alleen is niet genoeg om te voldoen aan uw verplichtingen op het gebied van zorgvuldig omgaan met persoonsgegevens. Voorkomen is beter dan genezen, meent de wetgever. Informatiebeveiliging is daarom een kwestie van bewustzijn, gedrag en verantwoordelijkheid in uw hele organisatie, ook in relatie tot uw leveranciers.
Gerelateerde artikelen: