ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

De verwerkersovereenkomst: wanneer wel, wanneer niet en wat zet je erin?

Juridisch Product

De bewerkersovereenkomst is een vaak ‘vergeten’ of gewoon onbekende overeenkomst. Dat is vreemd, aangezien het een wettelijk verplichte overeenkomst is op het moment dat u persoonsgegevens voor iemand verwerkt, of u persoonsgegevens aan een derde ter beschikking stelt.

We hebben al vaker over de bewerkersovereenkomst geschreven, maar het blijft voor sommige bedrijven nog steeds lastig om te bepalen of zij wel of geen bewerkersovereenkomst moeten hebben. Daarnaast is er ook nog steeds een groot aantal bedrijven dat niet weet wat een bewerkersovereenkomst is, laat staan wat daarin moet worden vastgelegd. De bewerkersovereenkomst wordt met het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 voortaan de “verwerkersovereenkomst” genoemd. Om jullie alvast aan de term te laten wennen, spreken wij van “verwerkersovereenkomst”.

Dit artikel is 27-10-2017 geüpdatet

Wanneer je het over persoonsgegevens hebt, komt vanaf 25 mei 2018 de AVG om de hoek kijken. De AVG bepaalt om te beginnen niet alleen wat persoonsgegevens zijn, maar voornamelijk hoe je met deze gegevens om moet gaan en waarvoor je ze mag gebruiken. Ook de verwerkersovereenkomst wordt in de AVG behandeld.

De verwerkingsverantwoordelijke en de verwerker

Wanneer je bijvoorbeeld je personeelsadministratie uitbesteedt, dan ben jij de verwerkingsverantwoordelijke en degene aan wie je het uitbesteedt is de verwerker. In dat geval ben je verplicht een verwerkersovereenkomst aan te bieden en te zorgen dat alle daarin opgenomen regels worden nageleefd. Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke en de verwerker (de Wbp spreekt van verantwoordelijke en bewerker, maar inhoudelijk verandert deze term niet).

Laat je on-premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een verwerkersovereenkomst vereist, tenzij de software extern wordt beheerd en niet binnen een eigen ICT-omgeving. Geef je als organisatie je medewerkers de mogelijkheid om met de trein te komen, dan hoef je als werkgever geen verwerkersovereenkomst af te sluiten met de NS omdat de NS zelf verwerkingsverantwoordelijke is. De NS bepaalt namelijk zelf welke doelen en middelen zij daarvoor inzet.

Is het beschermingsniveau passend voor de soort gegevens?

Wanneer je gegevens laat verwerken door een ander (in andere woorden: de verwerkingsverantwoordelijke laat gegevens verwerken door een verwerker), moet je ervoor zorgen dat de verwerking voldoende veiligheidswaarborgen heeft. Het beschermingsniveau moet hierbij in verhouding staan tot de te verwerken gegevens. Zo zullen de verwerkingen die plaatsvinden in het kader van het elektronisch patiëntendossier (EPD) een hoger beschermingsniveau nodig hebben dan verwerkingen die plaatsvinden bij het gebruik van een bonuskaart. Een vorm van passende beveiligingsmaatregelen is het pseudonimiseren of versleutelen van persoonsgegevens.

Persoonsgegevens niet verwerken voor ander doel dan opgegeven in verwerkersovereenkomst

Ook is het belangrijk te weten dat de persoonsgegevens enkel in opdracht, en volgens de aanwijzingen die zijn opgenomen in een verwerkersovereenkomst, van de verwerkingsverantwoordelijke mogen worden verwerkt. Als verwerker mag je de persoonsgegevens waar je over komt te beschikken dus niet op eigen houtje voor een heel ander doel gaan verwerken. Het is overigens de verwerkingsverantwoordelijke die moet nagaan of dit alles ook daadwerkelijk gebeurt. De verwerker is daarom ook verplicht om mee te werken aan audits ter verificatie dat hij de verwerkersovereenkomst nakomt.

Wat moet er nou in een verwerkersovereenkomst staan? In de verwerkersovereenkomst leg je onder andere vast waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker subverwerkers mag inschakelen voor de verwerking.

Datalekken en teruggave bij einde overeenkomst

Een ander punt dat absoluut niet mag ontbreken is hoe partijen omgaan met datalekken. Het is van groot belang goed vast te leggen wie datalekken meldt en wie de schade die daardoor ontstaat zal vergoeden. En wat gebeurt er bij het einde van de overeenkomst? Worden de gegevens door de verwerker vernietigd of teruggestuurd? En als dat kosten met zich meebrengt, wie draait daarvoor op? Ook dat moet opgenomen worden in een verwerkersovereenkomst.

Op zoek naar een verwerkersovereenkomst op maat? Neem dan contact met ons op. Meer weten over onze privacyadviezen & -diensten?

Meer weten over persoonsgegevens en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijgt u het handboek De Algemene Verordening Gegevensbescherming gratis. Deze trainingen zijn ook beschikbaar als PO-trainingen voor advocaten en juristen.

Roswitha Talen

Juridisch adviseur

Roswitha Talen werkt als juridisch adviseur bij ICTRecht. Binnen ICTRecht houdt Roswitha zich voornamelijk bezig met juridische vraagstukken rondom privacy. Hiervoor is Roswitha werkzaam geweest als bedrijfsjurist via detachering en heeft zij diverse opdrachten gedaan op het gebied van privacy.


Er zijn 17 reacties

  1. Waar ik met informatie over bewerkersovereenkomsten nooit uit kom zijn ontwikkel en/of testomgevingen die bij een leverancier staan. Stel de leverancier heeft een O en/of een T omgeving staan, waarin persoonsgegevens opgeslagen zijn. De Acceptatie en Productie omgeving staan echter bij de klant. Er is dus niet echt sprake van Cloud of SaaS, maar ontwikkeling en testen van software bij de leverancier. Is in dat geval ook een bewerkersovereenkomst noodzakelijk?

    Groeten,
    Jan

    1. Beste Jan,

      Bij het ontwikkelen en testen van software zal altijd moeten worden gekeken of er persoonsgegevens worden gebruikt en of die worden verwerkt door iemand anders dan de verantwoordelijke. Test u de software met persoonsgegevens in een testomgeving van de leverancier, dan zal er zeker een bewerkersovereenkomst vereist zijn. Test u de software echter met testdata, dan is een bewerkersovereenkomst niet nodig. Wanneer de leverancier de software bij u komt testen, zal het wel of niet nodig hebben van een bewerkersovereenkomst afhangen van de vraag of de leverancier toegang tot de persoonsgegevens krijgt of dat de persoonsgegevens op een voor de leverancier ontoegankelijke plaats zijn gezet. In dat laatste geval is geen bewerkersovereenkomst nodig, in de eerste wel. Kies er daarom bij voorkeur altijd voor te werken met testdata en de leverancier geen toegang te geven tot de bij u aanwezige persoonsgegevens.

      Ik hoop dat ik hiermee uw vraag heb beantwoord!

  2. In het geval van een overheidsinstelling als verantwoordelijke optreedt m.b.t. persoonsgegevens en de verwerking ervan uitbesteed aan een andere overheidsinstelling, is een bewerkersovereenkomst noodzakelijk? Bijvoorbeeld tussen twee ministeries, alhoewel beiden instellingen onderdeel zijn van de Staat?

    1. Beste Paulo,

      Ook in de situatie die jij schetst is inderdaad een bewerkersovereenkomst nodig. Wel is het hierbij de vraag of de overheidsinstelling aan wie het werk wordt uitbesteed daadwerkelijk als bewerker optreedt, of de persoonsgegevens voor eigen doeleinden verwerkt. In dat laatste geval is zij namelijk zelf een verantwoordelijke en dient dan ook over een rechtsgeldige grondslag te beschikken. Die grondslag kan bijvoorbeeld gebaseerd zijn op een wettelijke verplichting of noodzakelijk zijn voor een goede vervulling van een publiekrechtelijke taak, maar dat hoeft niet per se het geval te zijn. Indien de overheidsinstellingen beiden een verantwoordelijke zijn, bestaat er ook nog een verplichting om de betrokkenen te informeren door wie zijn persoonsgegevens worden verwerkt. De betrokkene dient namelijk te weten aan welke partijen zijn persoonsgegevens worden doorgegeven evenals wat de reden daarvan is.

      Met vriendelijke groet,
      Philip

  3. Een zorgverlener moet gegevens aan gemeentes opleveren om gefinancierd te worden. Moet de zorginstelling een bewerkersovereenkomst opstellen.

    Ditzelfde voor de zorgverzekeraar, er gaan BSN’s en personeelsdata naar deze instellingen die worden verwerkt (bewerkt ?), is in ieder geval voor de scope van het transport en afleveren van de data een bewerkersovereenkomst nodig? Dat er later in het proces de data voor allerlei andere doeleinde intern wordt gebruikt maakt ze natuurlijk een mede-verantwoordelijke.

    1. Hey Ronald,

      Ook in de situatie dat je persoonsgegevens opslaat in een cloud is inderdaad een bewerkersovereenkomst vereist. De data die worden opgeslagen dienen dan uiteraard wel persoonsgegevens te zijn. In het geval iemand besluit bepaalde gegevensverwerkingen uit te besteden, dienen er de nodige afspraken tussen partijen te worden vastgelegd in de vorm van een bewerkersovereenkomst.

      Met vriendelijke groet,

      Philip van der Weijde

      1. Hoi Philip, ik lees hierboven dat je voor clouddiensten – bijvoorbeeld google drive of gmail – ook een bewerkersovereenkomst moet sluiten. Hoe werkt dat in de praktijk? Voor analyctis levert google een dergelijke overeenkomst, maar voor bijvoorbeeld google drive kan ik dat niet vinden. Voor gmail – iedereen heeft wel persoonsgegevens in zijn email staan – dat ook in de cloud wordt bewaard, geldt het ook?

      2. Beste Dirk-Jan,

        Interessante vraag! Voor Gmail en Google Drive kan ik niet direct een bewerkersovereenkomst vinden. In de meeste gevallen dat zo’n dienst voor eigen gebruik wordt ingezet is een bewerkersovereenkomst niet nodig. Je bent namelijk zelf de betrokkene onder de Wbp en is er dus geen sprake van een relatie tussen verantwoordelijke en bewerker. Op verwerkingen van persoonsgegevens ten behoeve van activiteiten met uitsluitend “persoonlijke of huishoudelijke doeleinden” is de privacywetgeving overigens in het geheel niet van toepassing (zie artikel 2.2a Wbp).

        Een bewerkersovereenkomst zal in ieder geval wel nodig zijn als je Gmail bedrijfsmatig inzet en er ook sprake is van personeel. In dat geval gaat het om gegevensverwerking die door het bedrijf wordt uitbesteed, waarbij het bedrijf de verantwoordelijke is. Het zijn namelijk niet slechts meer je eigen gegevens gekoppeld aan je persoonlijke mailaccount.

        Met vriendelijke groet,
        Philip

  4. Ik ben bezig om een webwinkel te openen voor consumenten.
    Nu vraag ik mij af of ik een bewerkersovereenkomst moet sluit met mijn payment service provider (psp).
    Ik lever zelf geen persoonsgegevens aan de psp, alleen een code waardoor de klant zelf kan afrekenen. De klant moet zelf zijn gegevens invullen bij de psp.

    Groenten,

    Patrick

    1. Beste Patrick,

      De PSP is voor wat betreft de betaaldienst de verantwoordelijke. Voor het afhandelen van bestellingen in uw webshop bent u juist weer de verantwoordelijke. Beide partijen verwerken de gegevens immers voor eigen doeleinden. Tussen u en de betaaldienst bestaat dus geen relatie in de vorm van verantwoordelijke / bewerker. Er is in dit geval sprake van een zogenoemde gedifferentieerde verantwoordelijkheid. Iedere partij is dan zelfstandig verantwoordelijk voor het eigen deel van de gegevensverwerking. Uiteraard is het mogelijk dat in de overeenkomst met de PSP andere afspraken zijn vastgelegd waardoor u voor een bepaald deel van de gegevensverwerking toch als bewerker aangemerkt wordt.

      Met vriendelijke groet,
      Philip van der Weijde

  5. Beste Philip,

    U schrijft: Laat je echter on -premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een bewerkersovereenkomst vereist, tenzij de software extern wordt beheerd en niet binnen een eigen ICT-omgeving.

    Echter vaak verzorgt de software leverancier niet alleen de installatie van de software, maar ook ondersteuning hierop. Daarbij beschikt de software leverancier over wachtwoorden, gebruikersgegevens of klantgegevens uit het systeem, maar doet dit op de ICT omgeving van de klant. Is in dit geval wel een bewerkersovereenkomst noodzakelijk?

    En om het helemaal complex te maken, hoe zit het in het geval er remote verbinding wordt opgezet vanaf de software leverancier, naar het netwerk van de klant om de werkzaamheden uit te voeren.

    met vr groet,

    Willem

    1. Beste Willem,

      In de situatie waarin de softwareleverancier ondersteuning levert op de software, zal er inderdaad een bewerkersovereenkomst vereist zijn als die partij ook toegang krijgt tot gedeelten van de software waar persoonsgegevens opgeslagen zijn. Dat zal in de meeste gevallen wel aan de orde zijn. Ook in de situatie waarin een remote verbinding wordt opgezet, zal dat hetzelfde geval zijn. Criterium is te allen tijde of een derde partij bij de gegevens kan. Is dat het geval, dan is het belangrijk dat goede afspraken worden vastgelegd m.b.t. wat de softwareleverancier mag, wie waarvoor verantwoordelijk is en wat bijvoorbeeld moet worden gedaan als de softwareleverancier een datalek veroorzaakt.

      Met vriendelijke groet,
      Philip van der Weijde

  6. Beste Philip,

    Wij leveren een antispam dienst voor klanten moeten we hiervoor bewerkersovereenkomst afsluiten met deze klanten? We verwerken email maar niet direct persoonsgegevens.

    Ik hoor graag van je.

    Met vriendelijke groet,

    Jacco

  7. Beste Philip,

    Wanneer je als een fiscaal dienstverlenende organisatie voor een particuliere klant een fiscale aangifte uitvoert/invult op basis van een overeenkomst, is de klant in deze dan verantwoordelijke of zijn wij als organisatie de verantwoordelijke of juist bewerker. Wij als organisatie bepalen tenslotte in zekere mate het doel en de middelen hoe de aangifte wordt uitgewerkt. Als het antwoord is, wij als organisatie zijn verantwoordelijke, heeft de betrokkenen in deze dan een bewerkingsovereenkomst met ons als organisatie nodig?

    Ik hoop dat u mij hierin duidelijkheid kan verschaffen

    vriendelijke groet

    Tim Clijsters

  8. Is een bewerkersovereenkomst nodig als er louter fysieke bestanden in opslag gaan en waarbij de inhoud van de dossiers niet bekeken worden door de opslagnemer?

    1. Beste Koen,

      Er is ook een bewerkersovereenkomst nodig als door een derde partij fysieke bestanden worden opgeslagen. Ongeacht of zij daadwerkelijk de dossiers gaan bekijken of niet.

      Met vriendelijke groet,
      Roswitha

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *