Een bewerkersovereenkomst tussen bedrijven en ICT-dienstverleners beperkt de risico’s bij het verwerken van persoonsgegevens. Verzekeraar Chubb geeft een leidraad.
Steeds meer bedrijven besteden een groot deel van hun ICT-activiteiten uit aan dienstverlenende bedrijven. Volgens recente cijfers van het CBS gaat het om driekwart van ondernemingen met meer dan 10 werknemers. De dienstverlenende bedrijven bieden verschillende niveaus van diensten om klanten in hun processen te ondersteunen. Deze diensten worden doorgaans aangeduid als IaaS, PaaS, of SaaS. Een belangrijk onderdeel van de dienstverlening betreft de verwerking van persoonsgegevens die onder de Wet Bescherming Persoonsgegevens vallen. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking persoonsgegevens tot, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Met de toename van de dienstverlening, stijgt ook het risico voor de dienstverlener. Immers, als verwerker van de data van klanten neemt de dienstverlener een deel van de aansprakelijkheid op zich o.a. in geval van diefstal of verlies van data. Hoewel deze aansprakelijkheid eventueel contractueel beperkt kan worden, kunnen niet alle risico’s worden uitgesloten. De dienstverlener heeft een eigen verantwoordelijkheid op grond van diens zorgvuldigheidsplicht volgens de Wet bescherming persoonsgegevens (art 14 Wbp).
Wat is een bewerkersovereenkomst?
Een bewerkersovereenkomst is, voor zowel de Bewerker (dienstverlener) als de Verantwoordelijke (opdrachtgever), de beste manier om risico’s te beperken. In een dergelijke overeenkomst worden de verantwoordelijkheden van elke betrokken partij, in geval van schade door bijvoorbeeld diefstal of verlies van data, vastgelegd. Het is van groot belang alle verantwoordelijkheden en eventuele activiteiten van de Bewerker ondubbelzinnig vast te leggen. De Bewerker dient niet meer of minder uit te voeren dan afgesproken. Indien hij, buiten de afspraken om, bewerkingen aan data van derden uitvoert, kan hij namelijk als Verantwoordelijke (i.p.v. Bewerker) worden gezien en neemt zijn aansprakelijkheid significant toe. De overeenkomst dient objectief en meetbaar te zijn en duidelijke aansprakelijkheden te bevatten. In de overeenkomst dient vastgelegd te worden dat de Bewerker in opdracht en naar instructie van Verantwoordelijke handelt en verwezen te worden naar de overeenkomst waarin de opdracht is omschreven. Daarnaast dient vastgelegd te worden dat Bewerker passende beschermingsmaatregelen zal treffen en de door Bewerker te treffen beveiligingsmaatregelen dienen in de overeenkomst gespecificeerd te worden. Concrete en meetbare technische en organisatorische maatregelen, in overeenstemming met de van toepassing zijnde wetgeving, dienen in de overeenkomst opgenomen te worden. Vaak wordt verwezen naar
de algemene privacywetgeving waaraan de bewerker moet voldoen. Dit is echter onvoldoende. Het is aan de Verantwoordelijke om specifieke maatregelen op te stellen en de Bewerker kan hierbij eventueel ondersteunend zijn.
Gegegevensverstrekking aan derden en sub-bewerkers
Er dient duidelijk vastgelegd te worden dat de gegevens niet mogen worden gedeeld met derden tenzij contractueel anders is overeengekomen. Voor het inschakelen van sub-bewerkers dient toestemming te worden gegeven door de Verantwoordelijke. Verantwoordelijke dient zich te laten informeren over de identiteit van de ingeschakelde sub-bewerkers en wijzigingen daarin te monitoren. Dit kan bijvoorbeeld door duidelijk vermelde informatie op de website van Bewerker. De sub-bewerkers dienen op de hoogte te zijn van de contractuele bepalingen tussen opdrachtgever- en nemer. Geadviseerd wordt verplichtingen die op de bewerker rusten door te zetten naar de subbewerker. Doorgifte van de persoonsgegevens naar landen die geen passende bescherming bieden (landen buiten de Europese Economische Ruimte), mag alleen indien de Europese Commissie heeft bepaald dat doorgifte naar een dergelijk derde land is toegestaan dan wel waarborgen zijn ingebouwd om veilige doorgifte mogelijk te maken. Denk hierbij aan het gebruik van de standaard Europese (2010/87/EU) model clausules of binding corporate rules.
Inhoud van de overeenkomst
De bewerkersovereenkomst dient in ieder geval de volgende gegevens te bevatten:
– De duur, het onderwerp van de dienstverlening en het type data dat de Bewerker dient te beheren (bijvoorbeeld medische data, financiële gegevens of alleen NAW-gegevens etc.).
Specificatie van hoe de data, bijvoorbeeld aan het eind van de overeenkomst, weer aan de
Verantwoordelijke overgedragen, of eventueel vernietigd, dient te worden.
– Een vertrouwelijkheidsverklaring voor de Bewerker en zijn personeel. Hierin dient onder meer vastgelegd te worden dat alleen geautoriseerde personen toegang tot de data mogen hebben.
– Een voorziening verstrekt door de Bewerker om toegang tot gegevens te faciliteren indien een persoon gebruik maakt van zijn recht op toegang tot, of correctie en/of vernietiging van zijn gegevens.
– De verantwoordelijkheden die de Bewerker heeft, ten aanzien van het informeren van de
Verantwoordelijke, in geval van een inbreuk in de systemen waarbij gegevens van de Verantwoordelijke zijn betrokken.
– Dat datalekken gemeld dienen te worden in het kader van de wet meldplicht datalekken (art 34a Wbp) en de communicatieprocedures hieromtrent.
– Een lijst van locaties waar de gegevens door bewerker (en eventuele sub-bewerkers) kunnen worden opgeslagen.
– Het recht van de verantwoordelijke om toezicht te houden en de medewerking die de bewerker hieraan dient te verlenen.
– De plicht van de Bewerker om alle relevante veranderingen in de functionaliteit van de dienstverlening te melden aan de Verantwoordelijke.
– Vastlegging van hoe de logging en auditing van gegevens door de bewerker en eventuele subbewerker(s) dient te geschieden.
– Dat alle legale verzoeken van autoriteiten tot inzage of toegang tot data aan de Verantwoordelijke gemeld dienen te worden, tenzij dit niet is toegestaan door specifieke wetgeving.
– De bewerker dient te verzekeren dat de door hem getroffen organisatorische en technische beschermingsmaatregelen (en die van eventuele sub-bewerkers) voldoen aan de geldende wetgeving ter bescherming van persoonsgegevens.
