Een bewerkersovereenkomst is een wettelijk verplichte overeenkomst die tussen partijen gesloten moet worden wanneer de ene partij voor de andere partij persoonsgegevens “verwerkt”. Wat betekent dit bijvoorbeeld voor een webwinkel en wanneer is hiervan sprake?
Een webwinkel verzamelt persoonsgegevens. Het meest voor de hand liggend zijn de gegevens van bezoekers en klanten die een bestelling plaatsen. Denk daarbij aan de naam, een e-mailadres, een telefoonnummer, een adres en eventuele andere gegevens die noodzakelijk zijn voor de uitvoering van de overeenkomst. Maar denk ook aan een e-mailadres dat uitsluitend opgegeven wordt om een nieuwsbrief te ontvangen, of een naam en e-mailadres die uitsluitend gebruikt worden om een gewild product naar een vriend door te mailen. Minder voor de hand liggende voorbeelden zijn persoonsgegevens die verzameld worden door cookies of soortgelijke technieken.
Wanneer deze gegevens gedeeld worden, is het noodzakelijk om over dit delen heldere afspraken te maken. Google biedt eigenaren van websites bijvoorbeeld de mogelijkheid om online een bewerkersovereenkomst af te sluiten. Iets wat verplicht is om Google Analytics uit te kunnen zonderen van de cookiewet.
Een webwinkel is verantwoordelijk voor de omgang met deze persoonsgegevens, maar vaak wordt over het hoofd gezien waar de gegevens allemaal heen gestuurd worden en wie er iets met de gegevens doet. De Wet bescherming persoonsgegevens stelt eisen aan verwerkingen van persoonsgegevens. En dat gebeurt al snel, elke webwinkel maakt wel gebruik van diensten van derden. Een verwerking is:
elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Hieruit volgt dat bijvoorbeeld een programmeur die de database van een webwinkel onderhoudt persoonsgegevens kan verwerken, maar ook de hoster van een website, een externe partij die nieuwsbrieven voor een webwinkel verstuurt, of bijvoorbeeld een partij die een marketingcampagne door gebruik te maken van cookies op de webwinkel uitzet, verwerken persoonsgegevens.
Omdat deze partijen persoonsgegevens van en voor een webwinkel verwerken zijn ze aan te merken als bewerkers. Met deze bewerkers moet een bewerkersovereenkomst gesloten worden. In een dergelijke overeenkomst kunnen onder andere over de volgende punten afspraken opgenomen worden:
Heeft u als webwinkel nog geen bewerkersovereenkomst die u voor kunt leggen aan verschillende partijen? Genereer er bij ons een op maat.
Belangrijke is nog om te vermelden dat in de bewerkersovereenkomst ook de “meldplicht datalekken” verwerkt wordt. Een webwinkel is namelijk verantwoordelijke en is dus ook verantwoordelijk als er bij een bewerker een datalek ontstaat. Belangrijk is dus om hierover goede afspraken te maken met de bewerker, omdat de webwinkel nu eenmaal verantwoordelijk is. Lees hier meer over datalekken en de regelgeving daaromtrent.
Meer weten over de regels voor webwinkels en e-commerce?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.