Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Wat moet ik regelen als ik persoonsgegevens van mijn klanten aan een ander bedrijf geef voor de fulfilment?

18 juli 2014 Door

Een lezer vroeg me: Wat moet ik regelen als ik persoonsgegevens van mijn klanten aan een ander bedrijf geef voor de fulfilment?

Wanneer u zelf persoonsgegevens verzamelt en gebruikt, is het duidelijk dat de Wet bescherming persoonsgegevens (Wbp) op u van toepassing is. Maar als u een ander inschakelt om u te helpen, wordt de situatie complexer. Wie is aansprakelijk voor datalekken of een verwerking zonder toestemming? De Wbp voorziet hierin, en stelt expliciete regels voor de situatie dat een bedrijf een ander gegevens laat bewerken, zoals de wet dit noemt.

Passend beveiligingsniveau
Volgens de wet bent u “verantwoordelijke” voor de persoonsgegevens. U kunt en mag bijvoorbeeld zelfstandig besluiten een factuur of nieuwsbrief uit te sturen aan uw klanten. Het fulfilment bedrag wordt aangemerkt als “bewerker”. Aangezien u verantwoordelijke bent, moet u op grond van de Wbp passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens te beveiligen tegen verlies of tegen andere vormen van onrechtmatige verwerking van de persoonsgegevens. Worden bestanden bijvoorbeeld versleuteld opgeslagen en wordt er gebruikgemaakt van een SSL-verbinding wanneer er gegevens vanuit de backend van uw webwinkel naar de server van het fulfilment bedrijf worden verzonden?

Bewerkersovereenkomst
Als u voor een derde inschakelt die persoonsgegevens opslaat en verwerkt, moet er altijd een overeenkomst tussen u en deze derde worden gesloten waarin de afspraken en verplichtingen over en weer worden vastgelegd. In deze zogeheten bewerkersovereenkomst is het belangrijk om in ieder geval rekening te houden met de volgende punten:

• maak duidelijk met welk doel de gegevens worden verwerkt;
• zorg ervoor dat de gegevens niet buiten de Eu worden verwerkt door de bewerker;
• stel regels omtrent de beveiliging van de persoonsgegevens;
• noem de specifieke beveiligingsmaatregelen;
• zorg voor een recht op het uitvoeren van een audit bij de bewerker en maak duidelijk waarop deze audit zich richt;
• neem een boeteclausule op voor overtreding van de bewerkersovereenkomst;
• zorg voor een meldplicht voor de bewerker bij datalekken.

Het is uw verantwoordelijkheid dat deze overeenkomst daadwerkelijk met het fulfilment bedrijf wordt gesloten. Zonder bewerkersovereenkomst handelt u in strijd met de Wbp. Het fulfilment bedrijf hoeft niet zelf met een bewerkersovereenkomst te komen of u daarop te wijzen.

 

Steven Ras

Algemeen directeur

Steven Ras is algemeen directeur bij ICTRecht. Hij is gespecialiseerd in ICT en recht en dan met name op het gebied van ICT-contracten, digitaliseringstrajecten (elektronische handtekening), e-commerce, cloud- en privacyvraagstukken.

Juist vanwege zijn achtergrond als internetondernemer heeft hij veel belangstelling voor het internetrecht en de daarmee samenhangende juridische vraagstukken. Binnen ICTRecht houdt Steven zich tevens bezig met innovaties, acquisitie en klantcontacten.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie