Bewerker of verantwoordelijke? Bewerker, wees actief!

Op 1 januari 2016 is de wet meldplicht datalekken van kracht geworden. Deze wet heeft een hoop vragen doen opwaaien over wie er nu precies verantwoordelijk is voor de melding. Eerder schreven wij al dat een bewerker in principe geen wettelijke meldplicht heeft.

Maar wanneer ben je nu precies een bewerker en wanneer een verantwoordelijke? De scheidslijnen hiertussen zijn niet altijd even duidelijk. Toch is dit een belangrijke vraag, omdat de verantwoordelijke bij datalekken een melding moet maken bij de Autoriteit Persoonsgegevens. Daarnaast moet de verantwoordelijke ook zorgen voor een bewerkersovereenkomst met zijn bewerker(s).

De verantwoordelijke:

Binnen de Wbp wordt in art. 1 onder d een definitie gegeven van de verantwoordelijke. De verantwoordelijke is diegene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke is degene die zeggenschap heeft over hetgeen dat wordt verwerkt. Kenmerkend voor de verantwoordelijke is dat hij instructies kan geven ten behoeve van de gegevensverwerking en dus feitelijke invloed hierop heeft.

De (sub-) bewerker:

De bewerker is in art. 1 onder e Wbp benoemd als degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. De bewerker is dus een zelfstandige partij die enkel persoonsgegevens verwerkt voor de doeleinden van de verantwoordelijke. Het bestaan van een bewerker is afhankelijk van een besluit van de voor de verwerking verantwoordelijke, die kan besluiten gegevens binnen, of buiten, zijn eigen organisatie te verwerken.

Hoewel de bewerker instructies moet opvolgen van de verantwoordelijke met de betrekking tot vaststelling van de verwerking van persoonsgegevens, is er geen gezagsrelatie tussen de partijen. De bewerker kan zelfstandig keuzes maken met betrekking tot de ICT-dienstverlening, bijvoorbeeld bij de keuze welke software/hardware wordt gebruikt. De bewerker kan geen keuzes maken met betrekking tot de diverse persoonsgegevens die door de verantwoordelijke worden verwerkt.

Om het allemaal nog gemakkelijker te maken, moeten wij ook de sub-bewerker onderscheiden. Als een bewerker gebruik maakt van een derde partij om (een deel van de) persoonsgegevens te verwerken, dan wordt deze derde partij een sub-bewerker genoemd. Een verantwoordelijke dient wel uitdrukkelijk toegestemd te hebben met het gebruik van een sub-bewerker door de bewerker, zoals aangegeven tijdens de totstandkoming van de Wbp. De bewerker moet met de sub-bewerker overeenkomen dat de sub-bewerker zich eveneens schikt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en adequate beveiligingsmaatregelen neemt ten opzichte van de gegevensbewerking.

Bewerker, zit niet stil!

Ben je als partij een bewerker en geen verantwoordelijke? Dan ben je niet verplicht om op basis van de wet een datalek te melden. In de meeste bewerkersovereenkomsten die door een verantwoordelijke worden aangeboden staat echter wel een contractuele meldplicht bij datalekken. Dit is ook logisch, de bewerker is regelmatig de partij die als eerste op de hoogte is van een datalek. Een bewerker kan bijvoorbeeld een beveiligingslek in de software hebben, waardoor een datalek is ontstaan. De bewerker moet de verantwoordelijke dan wel de kans geven het datalek bij de toezichthouder te melden.

De bewerker doet er overigens ook goed aan om zelf actief een bewerkersovereenkomst af te sluiten met zijn klanten. Vaak is een verantwoordelijke helemaal niet op de hoogte van de plicht om een bewerkersovereenkomst af te sluiten. Een bewerker kan dan uit commercieel oogpunt zelf het initiatief nemen om een bewerkersovereenkomst met de klant af te sluiten. Er komen ook steeds meer signalen dat de Autoriteit Persoonsgegevens dit ook min of meer verwacht van een professioneel ICT-bedrijf. Voor beide partijen is het immers van belang dat er goede afspraken op papier staan.

Het biedt grote voordelen voor de bewerker om een eigen bewerkersovereenkomst aan te bieden aan zijn klant. Het is een stuk gemakkelijker voor de bewerker om zelf een uniforme bewerkingsovereenkomst te hebben dan tientallen verschillenden van zijn klanten. Ditzelfde geldt voor de sub-bewerkersovereenkomst. De bewerker kan daarmee ook ervoor zorgen dat er een goede bewerkersovereenkomst ligt zonder dat hij de verschillende sub-bewerkersovereenkomsten van zijn leveranciers moet beoordelen.

Bewerker, neem het initiatief tot een bewerkersovereenkomst en bespaar hiermee een hoop kostbare tijd en energie! Hulp nodig? Gebruik onze generator.

> Bekijk al onze privacyadviezen & -diensten

 

Juridische supermarkt JuriDox

Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw bewerkersovereenkomst en andere privacydocumenten opstellen.

 

Terug naar overzicht