Sinds 1 januari 2016 zijn er een aantal zaken veranderd voor wat betreft de verwerking van persoonsgegevens. De toezichthouder heeft de naam (in het maatschappelijk verkeer althans) gewijzigd van het College Berscherming Persoonsgegevens (CBP) naar de Autoriteit persoonsgegevens (AP). De verstrengde meldplicht datalekken is ingevoerd én de mogelijkheid van de AP om daar boetes op te heffen van tot maar liefst € 820.000,=. Door dit tumult is de aandacht voor informatiebeveiliging, zowel technisch als juridisch, weer verscherpt. Ook wordt er weer strenger gekeken naar het bestaan en de houdbaarheid van bewerkersovereenkomsten.

 

Bewerkersovereenkomst

De bewerkersovereenkomst is een overeenkomst tussen een verantwoordelijke, die persoonsgegevens laat verwerken door een bewerker. De verantwoordelijke is diegene die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. En de bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Een voorbeeld hiervan is de zorginstelling (verantwoordelijke) die haar patiëntgegevens in de cloud opslaat bij een IT-leverancier (bewerker).

 

Wettelijk verplicht

Hoewel in de praktijk hier niet altijd even goed uitvoering aan gegeven wordt, was het ook vóór 1 januari 2016, een wettelijke plicht van de verantwoordelijke om bij inschakeling van een bewerker deze met een bewerkersovereenkomst te binden aan een zorgvuldige verwerking van persoonsgegevens (artikel 14 Wet bescherming persoonsgegevens; Wbp).

Sinds de verstrengde meldplicht datalekken is ingevoerd, zijn tegelijkertijd de wettelijke vereisten aan de bewerkersovereenkomst ook uitgebreid in het vernieuwde artikel 14 Wbp:

de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt

en

Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt, schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.

Hiermee heeft de wetgever beoogd dat de verantwoordelijke, die in beginsel degene is die een datalek moet melden, zijn bewerkers dwingt om hem te informeren over eventuele datalekken. Immers, als er een lek bij een IT-bedrijf (bewerker) plaatsvindt en deze meldt dat niet aan zijn klant (de verantwoordelijke), dan loopt de verantwoordelijke een groot risico op boetes van de AP wegens het onterecht niet hebben gemeld van een datalek.

 

Controleer!

Het is dus de hoogste tijd, als u dit nog niet gedaan heeft, om voor uw bedrijf of organisatie de aanwezigheid én de juistheid van de inhoud van bewerkersovereenkomsten na te lopen. Dit geldt voor zowel de bewerkers, die hun klanten een slag voor kunnen zijn, als de verantwoordelijken. Uiteraard houdt NORD zich van harte aanbevolen om hier eens met u over te sparren.

Geplaatst op 4 maart 2016 door Koen Konings