Nieuw contract voor datalek bij uitbesteding

De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft onlangs een nieuw model voor de zogenoemde bewerkersovereenkomst gepubliceerd. Dit is het contract dat wordt opgesteld als een accountant bijvoorbeeld de salaris- of de financiële administratie voor uw organisatie verzorgt. In deze overeenkomst worden onder andere de taken uit de Wet meldplicht datalekken vastgelegd.

25 mei 2016 | Door redactie

Als uw organisatie persoonsgegevens uit de administratie verliest, moet dit volgens de Wet meldplicht datalekken gemeld worden aan de Autoriteit Persoonsgegevens én in sommige situaties moet u dit ook aan de betrokkenen melden (tool). Een datalek kan een hack zijn, maar ook iets kleins zoals het verliezen van een usb-stick. Als uw organisatie administratieve taken door een accountant laat verzorgen, neemt hij de verantwoordelijkheden uit de Wet meldplicht datalekken over. In dat geval moeten er in een bewerkersovereenkomst afspraken worden gemaakt over de verantwoordelijkheden bij een datalek (tool). Sinds de komst van de Algemene verordening gegevensbescherming (AVG) heet dit een verwerkersovereenkomst.

Een verwerkersovereenkomst is niet altijd nodig

Voor het opstellen van de verwerkersovereenkomst kan uw organisatie het modelcontract van de NBA (Word) gebruiken. In dit modelcontract zijn ook afspraken over een aantal andere onderwerpen opgenomen.  Als de accountant alleen persoonsgegevens verwerkt, is hij verantwoordelijke. In dit geval is een verwerkersovereenkomst niet nodig. De standaarden uit de onderstaande tabel geven aan of er sprake is van een be-of verwerker. 

Bewerkersovereenkomst.JPG