201702.06
1

Bewerkersovereenkomst: wanneer verplicht en wat moet erin staan?

Indien uw onderneming een bedrijf inschakelt om de personeelsadministratie te verzorgen of indien uw onderneming gebruik maakt van een ICT-bedrijf dat inzage heeft in uw personeelsgegevens, bestaat er een verplichting om een bewerkersovereenkomst te sluiten. Dit volgt uit de Wet bescherming persoonsgegevens.

Er is een verplichting om een bewerkersovereenkomst te sluiten indien de verantwoordelijke, een onderneming die persoonsgegevens verwerkt, gebruik maakt van een bewerker, iemand die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder dat hij onder het gezag van de verantwoordelijke valt. Er is sprake van verwerking van persoonsgegevens bij onder meer het verzamelen, bewaren en raadplegen van persoonsgegevens.

Op grond van de wet dienen er in de bewerkersovereenkomst afspraken te staan ten aanzien van de bescherming van persoonsgegevens, welke beveiligingsmaatregelen er genomen zijn en de naleving van de meldplicht bij datalekken. De Autoriteit Persoonsgegevens heeft hieraan toegevoegd dat in de overeenkomst het soort gegevens dat wordt verwerkt, de doeleinden van de verwerking, de duur van de opslag en de geheimhouding voor de bewerker en zijn personeel gedetailleerd moet zijn opgenomen. Als er sprake is van subbewerkerschap, een persoon of onderneming aan wie de bewerker de verwerking van gegevens uitbesteedt, dienen daarover ook afspraken te worden gemaakt.

Indien er geen bewerkersovereenkomst is gesloten, kan de Autoriteit Persoonsgegevens een last onder dwangsom opleggen. De onderneming wordt dan in de gelegenheid gesteld om alsnog een bewerkersovereenkomst te sluiten. Indien dit niet gebeurt binnen de gestelde termijn, is de onderneming een dwangsom verschuldigd.

Per 25 mei 2018 zal de Wet bescherming persoonsgegevens vervangen worden door de Europese algemene verordening gegevensbescherming. Vanaf dan is het niet hebben van een schriftelijke bewerkersovereenkomst beboetbaar. Deze boete kan oplopen tot € 10.000.000,– of 2 procent van de totale jaaromzet van een onderneming indien dit hoger is.

De verordening bepaalt wat er in de bewerkersovereenkomst dient te staan: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de verantwoordelijke. Hiernaast dient de overeenkomst te bepalen dat de bewerker:
• persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verantwoordelijke, tenzij de bewerker verplicht is om andere gegevens te verwerken;
• vertrouwelijkheid in acht neemt;
• passende maatregelen neemt om het beveiligingsniveau te waarborgen;
• enkel een subbewerker inschakelt indien de verantwoordelijke toestemming heeft gegeven en er een bewerkersovereenkomst met de subbewerker wordt gesloten;
• de verantwoordelijke helpt bij verzoeken van de betrokkene waarbij onder meer gedacht kan worden aan inzage in gegevens en rectificatie van gegevens;
• de verantwoordelijke helpt bij beveiliging van de verwerking, melding van een inbreuk aan de autoriteit en betrokkene, het doen van een gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de autoriteit bij een hoog risico;
• na afloop van het verrichten van zijn diensten alle persoonsgegevens wist of teruggeeft aan de verantwoordelijke en kopieën wist, tenzij er een plicht tot opslag bestaat;
• aan de verantwoordelijke alle informatie ter beschikking stelt die zij nodig heeft.
Bij inwerkingtreding van de verordening dient er een bewerkersovereenkomst gesloten te zijn met bovengenoemde bepalingen. Aangezien een bewerkersovereenkomst vaak voor een langere periode wordt gesloten, adviseren wij u om, indien er nog geen bewerkersovereenkomst bestaat, een overeenkomst te sluiten die ook al aan de verdergaande eisen van de aankomende nieuwe wetgeving voldoet.

Wanneer u nog vragen heeft of indien wij u kunnen helpen met het opstellen van een bewerkersovereenkomst, kunt u uiteraard contact met Rigje Rosier (r.rosier@stamoulisadvocaten.nl of 010 – 3020 385) of Sophie Mathot (s.mathot@stamoulisadvocaten.nl of 010 – 3020 388) opnemen.