Vandaag: wat moet ik met een bewerkersovereenkomst?
Sla je persoonlijke gegevens op voor anderen? Of laat je juist een ander werken met persoonsgegevens van je klanten? Dan ben je wettelijk verplicht die relatie contractueel te regelen met een bewerkersovereenkomst. En hier zit je sneller aan dan je denkt: of je nu een online boekhoudpakket aanbiedt, nieuwsbrieven laat versturen, je klantenadministratie uitbesteedt of simpelweg gegevens in de cloud opslaat, in al die gevallen is sprake van ‘bewerken’.
Wanneer je privacygevoelige gegevens verwerkt voor een ander, krijg je ook te maken met de Wet bescherming persoonsgegevens. Het opslaan, bewerken, versturen of gebruiken van persoonsgegevens is namelijk aan strenge eisen gebonden. Die eisen gelden niet alleen voor de persoon die daar opdracht toe geeft, maar ook voor de partij die in opdracht van die persoon de feitelijke werkzaamheden uitvoert.
Voorbeelden van partijen die als “bewerker” aangemerkt worden en onder de Wbp vallen:
• Een SaaS- of cloudaanbieder die diensten aanbiedt zoals beheer van klantenadministraties of hosted mailboxen.
• Een bedrijf dat nieuwsbrieven rondstuurt op basis van bestanden die zijn klanten aanleveren.
• Een aanbieder van een online boekhoudprogramma.
• Een aanbieder van een app die gebruikers persoonsgegevens van derden laat invoeren.
• Een bedrijf dat facturatie en debiteurenbeheer uitvoert namens opdrachtgevers.
• Een bedrijf dat klantenservice levert of retouren verwerkt in opdracht van een webwinkel.
Een bewerkersovereenkomst is wettelijk verplicht wanneer een partij het verwerken van persoonsgegevens bij een andere partij wil uitbesteden. Met deze overeenkomst leggen partijen vast voor welke doeleinden de gegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen, welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen en hoe het zit met de onderlinge aansprakelijkheid.
Het is verbazingwekkend hoe weinig bedrijven zo’n bewerkersovereenkomst sluiten. Vaak niet uit kwade wil maar uit onbekendheid met de verplichting. Als verantwoordelijke voor de verwerking van persoonsgegevens ben je wettelijk verplicht dit te doen. Maar ook als je bewerker bent, bijvoorbeeld omdat je een SaaS-dienst levert, is het verstandig om een standaard bewerkersovereenkomst te hebben voor het geval klanten er om vragen. Als je het initiatief bij de klant legt loopt je het gevaar dat je per klant met andere eisen wordt geconfronteerd. Hecht de bewerkersovereenkomst als bijlage bij je algemene voorwaarden en voorkom lastige vragen.
Onze generator is een goedkope en snelle manier om zo’n bewerkersovereenkomst op te stellen.
