Kleine lettertjes: bewerkersovereenkomst

Organisaties die persoonsgegevens beheren, besteden de verwerking daarvan vaak uit. Maar om ‘ongelukjes’ te voorkomen, is het verplicht een bewerkersovereenkomst met zo’n derde partij te sluiten. Daarin wordt vastgelegd wat deze wel en niet mag doen met de persoonsgegevens.

17 januari 2017 | Door redactie

Organisaties die het beheer en de bewerking van hun persoonsgegevens uitbesteden aan een derde partij, blijven toch te allen tijde zelf verantwoordelijk. Dus ontstaat er bijvoorbeeld een datalek (e-learning) bij de bewerker, dan wordt toch de organisatie die de persoonsgegevens heeft uitbesteed daarop aangesproken. Het is dus zaak om te zorgen voor een goede bewerkersovereenkomst (tool). Daardoor kan gezorgd worden dat de bewerker niet zelf beslissingen neemt over de informatie die hij in beheer heeft gekregen. In een bewerkersovereenkomst moeten de volgende onderwerpen worden opgenomen.

  • De eis dat de bewerker passende maatregelen neemt om de gegevens te beschermen tegen diefstal en verlies.
  • Een bepaling dat de bewerker alleen met de persoonsgegevens mag doen wat hem is opgedragen door de uitbestedende partij. Hij mag de gegevens nooit voor eigen doelen gebruiken.
  • Het land waar de persoonsgegevens zullen worden opgeslagen.   
  • Een bepaling die de bewerker het recht geeft een derde partij in te schakelen, of dat juist verhindert.
  • Het recht om te komen controleren of de in het contract afgesproken maatregelen worden nageleefd.
  • Weliswaar blijft de organisatie zelf verantwoordelijk voor de persoonsgegevens, maar als de bewerker een fout maakt waardoor er bijvoorbeeld een datalek ontstaat, kan wel contractueel afgesproken worden dat daar sancties op staan. Leg die verantwoordelijkheid en de bijbehorende sancties dus ook vast.

Apart afsluiten

De bewerkersovereenkomst moet apart afgesloten worden. Hij staat dus los van de normale dienstverlenersovereenkomst. Organisaties kunnen bijvoorbeeld de personeelsadministratie uitbesteden en hiervoor een contract afsluiten. De bewerkersovereenkomst wordt dan apart afgesloten om de uitbestede persoonsgegevens te beschermen.