WhatsApp: 06-44266464
A A A

Verwerkersovereenkomst

Verwerken van persoonsgegevens: OVEREENKOMST ESSENTIEEL!
In april 2016 was een groot datalek in Amersfoort volop in het nieuws. De krantenkoppen logen er niet om: ‘Wijkteams slordig met privacygevoelige gegevens’ en ‘Verontrusting na gelekte cliëntgegevens’. Wat was er aan de hand? In de gemeente Amersfoort zijn de persoonlijke gegevens van bijna 2.000 cliënten van wijkteams gelekt.
Wat blijkt: een ambtenaar had een lijst met gegevens per abuis naar een verkeerd e-mailadres gestuurd. Wekenlang probeerden ambtenaren de fout onder de pet te houden en weg te poetsen. Het lek is niet gemeld overeenkomstig de Wet meldplicht datalekken. Het gevolg was dat de positie van de verantwoordelijke wethouders wankelde en een forse boete dreigt wegens overtreding van de wet.
Het datalek in Amersfoort kon ontstaan omdat daar meerdere partijen betrokken zijn bij de verwerking van persoonsgegevens. Door het ontbreken van heldere onderlinge afspraken deelde de instantie privacygevoelige gegevens per e-mail. Vanwege een menselijke fout kwamen de gegevens vervolgens terecht bij een verkeerd adres.

Wake-up call
Dit incident is voor veel bedrijven en instellingen een wake-up call: want hoe kunt u zelf de krantenkoppen en andere mogelijke gevolgen van een datalek voorkomen?
“Dat kunt u eenvoudig doen door een goede verwerkersovereenkomst op te stellen”, vertelt Anne Bergsma, directeur van Assurantiebedrijf Froonacker uit Franeker. “In aanvulling op andere technische en organisatorische maatregelen die u dient te nemen om de kans op een datalek of ander cyberrisico te verlagen, maakt u in die verwerkersovereenkomst afspraken met derden over de bescherming van persoonsgegevens. Bijvoorbeeld met een ICT-leverancier, een hosting- of een andere partij die u inschakelt voor de verwerking van persoonsgegevens. Deze partijen noemen we ‘verwerkers’.”

Wat is een verwerkersovereenkomst
Om de noodzaak van een goede verwerkersovereenkomst op waarde te schatten nemen we eerst het begrip zelf onder de loep. Een verwerkersovereenkomst of data processing agreement (DPA) komt uit de privacyregelgeving. Daarin wordt onderscheid gemaakt tussen de begrippen 'verantwoordelijke' en 'verwerker'.
De verantwoordelijke (controller) is degene die het doel van - en de middelen voor - de verwerking van persoonsgegevens vaststelt. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met betrekking tot de salarisadministratie (naam, adres, bankrekeningnummer, enzovoorts). Het bedrijf is verantwoordelijk voor die gegevens. De verwerker (processor) is degene die deze persoonsgegevens ten behoeve van de verantwoordelijke verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld is een salarisadministratiekantoor, dat voor het genoemde bedrijf de salarisadministratie afhandelt, een verwerker.
Een verwerkersovereenkomst is derhalve een onderlinge, schriftelijke overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. En - hoe kan het ook anders - het valt onder de verantwoordelijkheid van de verantwoordelijke dat dit ook daadwerkelijk gebeurt.

Wanneer is een verwerkersovereenkomst essentieel?
Zodra een verantwoordelijke persoonsgegevens laat verwerken door een verwerker, is een verwerkersovereenkomst tussen beide partijen altijd verplicht. Dit geldt tevens als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland is gevestigd. Telkens wanneer een verantwoordelijke het verwerken van persoonsgegevens uitbesteedt, is een schriftelijke overeenkomst vereist.

Advies
Wilt u advies over uw bestaande of nieuwe verwerkersovereenkomst? Neem dan contact op met directeur en zakelijk adviseur Anne Bergsma. Hij helpt u graag met het analyseren en opstellen van adequate overeenkomsten.

Wat zijn persoonsgegevens?
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Europese Privacyverordening (per 25 mei 2018)

Hieronder een selectie van de belangrijkste onderdelen in een verwerkersovereenkomst:

  • Verwerking in overeenstemming met instructies van de verantwoordelijke: De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
  • Geheimhouding: In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
  • Beveiligingsmaatregelen: De verantwoordelijke draagt zorg dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen fraude, afpersing, verlies en dergelijke.
  • Inschakelen van derden en onderaannemers: In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker sub-verwerkers mag inschakelen.
  • Locatie van de data: De verantwoordelijke moet weten in welke landen zijn data worden opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
  • Audits: De verantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
  • Aansprakelijkheid en verzekeringsplicht: De wet bepaalt dat de verantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de Wet bescherming persoonsgegevens (Wbp) niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelf aansprakelijk is. Het is verstandig om in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling van aansprakelijkheid. Verantwoordelijke en verwerker doen er ook goed aan om afspraken te maken over adequate verzekeringsdekking(en) aan de zijde van de verwerker. Zodat deze bij een calamiteit voldoende continuïteit kan waarborgen.