ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

De bewerkersovereenkomst: wanneer wel, wanneer niet en wat zet je erin?

Juridisch Product

De bewerkersovereenkomst is een vaak ‘vergeten’ of gewoon onbekende overeenkomst. Dat is vreemd, aangezien het een wettelijk verplichte overeenkomst is op het moment dat u persoonsgegevens voor iemand verwerkt, of u persoonsgegevens aan een derde ter beschikking stelt.

We hebben al vaker over de bewerkersovereenkomst geschreven, maar het blijft voor sommige bedrijven nog steeds lastig om te bepalen of zij wel of geen bewerkersovereenkomst moeten hebben. Daarnaast is er ook nog steeds een groot aantal bedrijven dat niet weet wat een bewerkersovereenkomst is, laat staan wat daarin moet worden vastgelegd.

Update: 26-7-2017: de bewerkersovereenkomst wordt met het van kracht worden van de Algemene Verordening Gegevensbescherming in mei 2018 voortaan de verwerkersovereenkomst genoemd. Boetes worden trouwens ook hoger. Dus let op!

Dat is problematisch, aangezien de bewerkersovereenkomst wettelijk verplicht is wanneer persoonsgegevens voor een ander worden verwerkt. Ook met het oog op het wetsvoorstel omtrent de privacy waar wij eerder over schreven, kan het zeker geen kwaad de bewerkersovereenkomst nogmaals onder de aandacht te brengen.

Wanneer je het over persoonsgegevens hebt, komt direct de Wet bescherming persoonsgegevens om de hoek kijken. Deze wet bepaalt om te beginnen niet alleen wat persoonsgegevens zijn, maar voornamelijk hoe je met deze gegevens om moet gaan en waarvoor je ze mag gebruiken. Ook de bewerkersovereenkomst wordt in deze wet behandeld.

De verantwoordelijke en de bewerker

Wanneer je bijvoorbeeld je personeelsadministratie uitbesteedt, dan ben jij de verantwoordelijke en degene aan wie je het uitbesteedt is de bewerker. In dat geval ben je gehouden een bewerkersovereenkomst aan te bieden en te zorgen dat alle daarin opgenomen regels worden nageleefd. Dit neemt echter niet weg dat ook de bewerker met een bewerkersovereenkomst voor de dag mag komen.

De verantwoordelijke blijft echter verantwoordelijke en zal dus ook goed moeten letten op wat er precies in deze overeenkomst staat en of dat voldoende is. Laat je echter on-premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een bewerkersovereenkomst vereist, tenzij de software extern wordt beheerd en niet binnen een eigen ICT-omgeving.

Is het beschermingsniveau passend voor de soort gegevens?

Wanneer je gegevens laat verwerken door een ander (in andere worden: de verantwoordelijke laat gegevens verwerken door een bewerker), dien je er voor te zorgen dat de verwerking met voldoende veiligheidswaarborgen is omkleed. Het beschermingsniveau moet hierbij in verhouding staan tot de te verwerken gegevens. Zo zullen de verwerkingen die plaatsvinden in het kader van het elektronisch patiëntendossier een hoger beschermingsniveau vereisen dan verwerkingen die plaatsvinden bij het gebruik van de Bonuskaart.

Persoonsgegevens niet verwerken voor ander doel dan opgegeven in bewerkersovereenkomst

Ook is het belangrijk te weten dat de persoonsgegevens enkel in opdracht, en volgens de aanwijzingen die zijn opgenomen in een bewerkersovereenkomst, van de verantwoordelijke mogen worden verwerkt. Als bewerker mag je de persoonsgegevens waar je over komt te beschikken dus niet op eigen houtje voor een heel ander doel gaan verwerken. Het is overigens de verantwoordelijke die na dient te gaan of dit alles ook daadwerkelijk gebeurt.

Wat moet er nou in een bewerkersovereenkomst staan? In de bewerkersovereenkomst leg je onder andere vast waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden waar de persoonsgegevens worden opgeslagen.

Vergeet niet datalekken aan te kaarten

Een ander punt dat absoluut niet mag ontbreken is hoe partijen omgaan met datalekken. Zeker nu het erop begint te lijken dat het Cbp (nu Autoriteit Persoonsgegevens) echte handhavingsmogelijkheden krijgt, is het van groot belang goed vast te leggen wie datalekken meldt en wie de schade die daardoor ontstaat zal vergoeden.

Op zoek naar een bewerkersovereenkomst op maat? Neem dan contact met ons op. Meer weten over onze privacyadviezen & -diensten?

Meer weten over privacywetgeving, Wbp en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijgt u het handboek De Algemene Verordening Gegevensbescherming gratis. Deze trainingen zijn ook beschikbaar als PO-trainingen voor advocaten en juristen.

Philip van der Weijde

Juridisch adviseur

Philip is als juridisch adviseur werkzaam bij ICTRecht. Zijn interesses gaan uit naar het intellectueel eigendomsrecht in het algemeen, de verscheidene raakvlakken met het internet en de toenemende internationale vraagstukken op dit gebied. Daarnaast houdt hij zich bij ICTRecht ook bezig met alle aspecten betreffende e-commerce, privacy en adviseert hij bij het opstellen en reviewen van uiteenlopende ICT-contracten. Door zijn uitgebreide buitenlandervaring is hij ook goed thuis in de Engelse taal, zowel mondeling als schriftelijk.


Er zijn 15 reacties

  1. Waar ik met informatie over bewerkersovereenkomsten nooit uit kom zijn ontwikkel en/of testomgevingen die bij een leverancier staan. Stel de leverancier heeft een O en/of een T omgeving staan, waarin persoonsgegevens opgeslagen zijn. De Acceptatie en Productie omgeving staan echter bij de klant. Er is dus niet echt sprake van Cloud of SaaS, maar ontwikkeling en testen van software bij de leverancier. Is in dat geval ook een bewerkersovereenkomst noodzakelijk?

    Groeten,
    Jan

    1. Beste Jan,

      Bij het ontwikkelen en testen van software zal altijd moeten worden gekeken of er persoonsgegevens worden gebruikt en of die worden verwerkt door iemand anders dan de verantwoordelijke. Test u de software met persoonsgegevens in een testomgeving van de leverancier, dan zal er zeker een bewerkersovereenkomst vereist zijn. Test u de software echter met testdata, dan is een bewerkersovereenkomst niet nodig. Wanneer de leverancier de software bij u komt testen, zal het wel of niet nodig hebben van een bewerkersovereenkomst afhangen van de vraag of de leverancier toegang tot de persoonsgegevens krijgt of dat de persoonsgegevens op een voor de leverancier ontoegankelijke plaats zijn gezet. In dat laatste geval is geen bewerkersovereenkomst nodig, in de eerste wel. Kies er daarom bij voorkeur altijd voor te werken met testdata en de leverancier geen toegang te geven tot de bij u aanwezige persoonsgegevens.

      Ik hoop dat ik hiermee uw vraag heb beantwoord!

  2. In het geval van een overheidsinstelling als verantwoordelijke optreedt m.b.t. persoonsgegevens en de verwerking ervan uitbesteed aan een andere overheidsinstelling, is een bewerkersovereenkomst noodzakelijk? Bijvoorbeeld tussen twee ministeries, alhoewel beiden instellingen onderdeel zijn van de Staat?

    1. Beste Paulo,

      Ook in de situatie die jij schetst is inderdaad een bewerkersovereenkomst nodig. Wel is het hierbij de vraag of de overheidsinstelling aan wie het werk wordt uitbesteed daadwerkelijk als bewerker optreedt, of de persoonsgegevens voor eigen doeleinden verwerkt. In dat laatste geval is zij namelijk zelf een verantwoordelijke en dient dan ook over een rechtsgeldige grondslag te beschikken. Die grondslag kan bijvoorbeeld gebaseerd zijn op een wettelijke verplichting of noodzakelijk zijn voor een goede vervulling van een publiekrechtelijke taak, maar dat hoeft niet per se het geval te zijn. Indien de overheidsinstellingen beiden een verantwoordelijke zijn, bestaat er ook nog een verplichting om de betrokkenen te informeren door wie zijn persoonsgegevens worden verwerkt. De betrokkene dient namelijk te weten aan welke partijen zijn persoonsgegevens worden doorgegeven evenals wat de reden daarvan is.

      Met vriendelijke groet,
      Philip

  3. Een zorgverlener moet gegevens aan gemeentes opleveren om gefinancierd te worden. Moet de zorginstelling een bewerkersovereenkomst opstellen.

    Ditzelfde voor de zorgverzekeraar, er gaan BSN’s en personeelsdata naar deze instellingen die worden verwerkt (bewerkt ?), is in ieder geval voor de scope van het transport en afleveren van de data een bewerkersovereenkomst nodig? Dat er later in het proces de data voor allerlei andere doeleinde intern wordt gebruikt maakt ze natuurlijk een mede-verantwoordelijke.

    1. Hey Ronald,

      Ook in de situatie dat je persoonsgegevens opslaat in een cloud is inderdaad een bewerkersovereenkomst vereist. De data die worden opgeslagen dienen dan uiteraard wel persoonsgegevens te zijn. In het geval iemand besluit bepaalde gegevensverwerkingen uit te besteden, dienen er de nodige afspraken tussen partijen te worden vastgelegd in de vorm van een bewerkersovereenkomst.

      Met vriendelijke groet,

      Philip van der Weijde

      1. Hoi Philip, ik lees hierboven dat je voor clouddiensten – bijvoorbeeld google drive of gmail – ook een bewerkersovereenkomst moet sluiten. Hoe werkt dat in de praktijk? Voor analyctis levert google een dergelijke overeenkomst, maar voor bijvoorbeeld google drive kan ik dat niet vinden. Voor gmail – iedereen heeft wel persoonsgegevens in zijn email staan – dat ook in de cloud wordt bewaard, geldt het ook?

      2. Beste Dirk-Jan,

        Interessante vraag! Voor Gmail en Google Drive kan ik niet direct een bewerkersovereenkomst vinden. In de meeste gevallen dat zo’n dienst voor eigen gebruik wordt ingezet is een bewerkersovereenkomst niet nodig. Je bent namelijk zelf de betrokkene onder de Wbp en is er dus geen sprake van een relatie tussen verantwoordelijke en bewerker. Op verwerkingen van persoonsgegevens ten behoeve van activiteiten met uitsluitend “persoonlijke of huishoudelijke doeleinden” is de privacywetgeving overigens in het geheel niet van toepassing (zie artikel 2.2a Wbp).

        Een bewerkersovereenkomst zal in ieder geval wel nodig zijn als je Gmail bedrijfsmatig inzet en er ook sprake is van personeel. In dat geval gaat het om gegevensverwerking die door het bedrijf wordt uitbesteed, waarbij het bedrijf de verantwoordelijke is. Het zijn namelijk niet slechts meer je eigen gegevens gekoppeld aan je persoonlijke mailaccount.

        Met vriendelijke groet,
        Philip

  4. Ik ben bezig om een webwinkel te openen voor consumenten.
    Nu vraag ik mij af of ik een bewerkersovereenkomst moet sluit met mijn payment service provider (psp).
    Ik lever zelf geen persoonsgegevens aan de psp, alleen een code waardoor de klant zelf kan afrekenen. De klant moet zelf zijn gegevens invullen bij de psp.

    Groenten,

    Patrick

    1. Beste Patrick,

      De PSP is voor wat betreft de betaaldienst de verantwoordelijke. Voor het afhandelen van bestellingen in uw webshop bent u juist weer de verantwoordelijke. Beide partijen verwerken de gegevens immers voor eigen doeleinden. Tussen u en de betaaldienst bestaat dus geen relatie in de vorm van verantwoordelijke / bewerker. Er is in dit geval sprake van een zogenoemde gedifferentieerde verantwoordelijkheid. Iedere partij is dan zelfstandig verantwoordelijk voor het eigen deel van de gegevensverwerking. Uiteraard is het mogelijk dat in de overeenkomst met de PSP andere afspraken zijn vastgelegd waardoor u voor een bepaald deel van de gegevensverwerking toch als bewerker aangemerkt wordt.

      Met vriendelijke groet,
      Philip van der Weijde

  5. Beste Philip,

    U schrijft: Laat je echter on -premise software installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een bewerkersovereenkomst vereist, tenzij de software extern wordt beheerd en niet binnen een eigen ICT-omgeving.

    Echter vaak verzorgt de software leverancier niet alleen de installatie van de software, maar ook ondersteuning hierop. Daarbij beschikt de software leverancier over wachtwoorden, gebruikersgegevens of klantgegevens uit het systeem, maar doet dit op de ICT omgeving van de klant. Is in dit geval wel een bewerkersovereenkomst noodzakelijk?

    En om het helemaal complex te maken, hoe zit het in het geval er remote verbinding wordt opgezet vanaf de software leverancier, naar het netwerk van de klant om de werkzaamheden uit te voeren.

    met vr groet,

    Willem

    1. Beste Willem,

      In de situatie waarin de softwareleverancier ondersteuning levert op de software, zal er inderdaad een bewerkersovereenkomst vereist zijn als die partij ook toegang krijgt tot gedeelten van de software waar persoonsgegevens opgeslagen zijn. Dat zal in de meeste gevallen wel aan de orde zijn. Ook in de situatie waarin een remote verbinding wordt opgezet, zal dat hetzelfde geval zijn. Criterium is te allen tijde of een derde partij bij de gegevens kan. Is dat het geval, dan is het belangrijk dat goede afspraken worden vastgelegd m.b.t. wat de softwareleverancier mag, wie waarvoor verantwoordelijk is en wat bijvoorbeeld moet worden gedaan als de softwareleverancier een datalek veroorzaakt.

      Met vriendelijke groet,
      Philip van der Weijde

  6. Beste Philip,

    Wij leveren een antispam dienst voor klanten moeten we hiervoor bewerkersovereenkomst afsluiten met deze klanten? We verwerken email maar niet direct persoonsgegevens.

    Ik hoor graag van je.

    Met vriendelijke groet,

    Jacco

  7. Beste Philip,

    Wanneer je als een fiscaal dienstverlenende organisatie voor een particuliere klant een fiscale aangifte uitvoert/invult op basis van een overeenkomst, is de klant in deze dan verantwoordelijke of zijn wij als organisatie de verantwoordelijke of juist bewerker. Wij als organisatie bepalen tenslotte in zekere mate het doel en de middelen hoe de aangifte wordt uitgewerkt. Als het antwoord is, wij als organisatie zijn verantwoordelijke, heeft de betrokkenen in deze dan een bewerkingsovereenkomst met ons als organisatie nodig?

    Ik hoop dat u mij hierin duidelijkheid kan verschaffen

    vriendelijke groet

    Tim Clijsters

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *