Checklist voor bewerkersovereenkomsten

Wanneer iemand werkt met gegevens die herleidbaar zijn tot een bepaald natuurlijk persoon, verwerkt men in de meeste gevallen persoonsgegevens. Dat betekent vaak dat de Wet bescherming persoonsgegevens (Wbp) van toepassing is. Een verwerking is elke handeling met betrekking tot deze persoonsgegevens. Onder een handeling wordt veel verstaan, onder andere: verzamelen, vastleggen, bewaren, wijzigen en verstrekken.

Op grond van de Wbp dient men zorgvuldig om te gaan met deze gegevens en mogen deze niet worden verwerkt voor een ander doel dan waarvoor de gegevens verstrekt zijn. Daarnaast mogen de persoonsgegevens ook niet zomaar worden doorgegeven aan een derde.Toch ontkomt men er niet aan dat de gegevens bij een derde worden verwerkt. Hierbij kunt u denken aan SaaS- of cloudaanbieder (voor bijvoorbeeld uw klantenadministratie).

In deze gevallen komen de persoonsgegevens die u heeft verzameld, terecht bij een derde (de bewerker). Deze derde is de cloudaanbieder zelf of de webhoster. Op grond van de Wbp is het verplicht om een overeenkomst tussen beide partijen te sluiten, juist ook voor webhosters of soortgelijke dienstverleners.

Deze overeenkomst wordt ook wel de bewerkersovereenkomst genoemd. In deze overeenkomst wordt vastgesteld voor welk doel de gegevens worden verwerkt en worden er afspraken gemaakt over de beveiliging bij beide partijen. Het is verstandig om naast de verplichte afspraken, ook te kijken naar aanvullende afspraken. We hebben voor u de belangrijkste zaken op een rijtje gezet. Deze aandachtspunten zijn zowel van belang voor diegene die de gegevens in eerste instantie verwerkt, als de webhoster.

• Wees concreet;
• Maak duidelijk voor welk doel de gegevens worden verwerkt;
• Zorg er voor dat de gegevens niet buiten de EU worden verwerkt door de bewerker;
• Maak afspraken over het gebruik van de gegevens door de bewerker voor kwaliteitsdoeleinden;
• Stel regels omtrent de beveiliging van de persoonsgegevens;
• Noem de specifieke beveiligingsmaatregelen;
• Neem een bepaling op over welke beveiligingsnormen de bewerker moet aanhouden (ISO en NEN normen);
• Zorg voor duidelijke afspraken omtrent verzoeken van betrokkenen, zodat duidelijk is bij wie de betrokkene terecht kan;
• Zorg voor een recht op het uitvoeren van een audit bij de bewerker en maak duidelijk waarop deze audit zich richt;
• Maak duidelijk wanneer een audit mag worden uitgevoerd en door wie;
• Zorg er voor dat duidelijk is wie de kosten van de audit betaalt;
• Zorg voor een meldplicht bij datalekken bij de bewerker;
• Geef duidelijk aan wat er moet worden gemeld en wanneer;
• Neem een boeteclausule op voor overtreding van de bewerkersovereenkomst;
• Zorg er voor dat duidelijk is wie aansprakelijk is bij overtreding van het recht (Wbp);
• Neem in de bewerkersovereenkomst op dat de bewerker verplicht is tot het afsluiten van een aansprakelijkheidsverzekering en stel een minimale dekking vast;
• Neem in de overeenkomst op dat u de verzekeringspolis in mag kijken;
• Zorg er voor dat er geheimhouding is, zowel tijdens de uitvoering van de overeenkomst als na beëindiging van de overeenkomst;
• Neem in de overeenkomst op dat u een kopie krijgt van de gegevens indien de overeenkomst wordt beëindigd.