Hoe maak je een bewerkersovereenkomst
| Sieuwert van Otterloo |
Contracten
Security
Let op: Vanwege de nieuwe wetgeving AVG is dit artikel opgevolgd door het nieuwe artikel over de verwerkersovereenkomst.
Waarom een bewerkersovereenkomst?
De bewerkersovereenkomst is een begrip uit de wet bescherming persoonsgegevens. Deze wet heeft als doel dat bedrijven behoorlijk en zorgvuldig omgaan met privacy-gevoelige informatie. De wet stelt hiervoor een aantal eisen, zoals toestemming, inzage en beveiliging. Deze eisen worden gesteld aan de verantwoordelijke: het bedrijf dat controle heeft over welke gegevens worden verzameld. Dit kan bijvoorbeeld de werkgever zijn. Vaak zijn er echter leveranciers van de verantwoordelijke die ook bij de gegevens kunnen. Dit zijn bijvoorbeeld HR-bedrijven, boekhouders maar ook IT-leveranciers als deze bij de gegevens kunnen. Deze partijen worden in de wet bewerkers genoemd.
De wet stelt niet direct eisen aan bewerkers. De bewerkers weten immers niet altijd wat het doel van de gegevens is. In plaats daarvan is het wettelijk verplicht voor verantwoordelijken om met elke bewerker een bewerkersovereenkomst te sluiten. De bewerker hoeft zich daarna alleen te houden in wat er in de bewerkersovereenkomst staat en niet zelf alle acties uit de wet uit te voeren. Bijvoorbeeld: een bewerker die een verzoek tot inzage krijgt van een persoon, kan het beste dit verzoek doorgeven aan de verantwoordelijke en er verder zelf niets mee doen.
Wat staat er in de bewerkersovereenkomst?
De bewerkersovereenkomst moet in ieder geval de volgende punten bevatten:
- Bewerker moet zorgen voor afdoende beveiliging
- Bewerker mag persoonsgegevens alleen bewerken in opdracht van de verantwoordelijke.
- Bewerker is aansprakelijk voor schade bij overtredingen
- Bewerker en degenen die onder gezag handelen zijn verplicht om persoonsgegevens waarvan zij kennisnemen, geheim te houden.
- Bewerker moet datalekken melden aan verantwoordelijke (geen formele eis maar wel een handige afspraak)
Dit kan aangevuld worden met extra praktische punten. Het kan bijvoorbeeld handig zijn om af te spreken welke beveiligingsmaatregelen in ieder geval moeten worden genomen, of er audits en controles mogen worden uitgevoerd en welke mensen van de bewerker toegang krijgen.
Moet er een aparte bewerkersovereenkomst zijn?
Voor zover ons bekend hecht de overheid er vooral waarde aan dat zaken inhoudelijk goed zijn geregeld, en niet of dit in aparte overeenkomsten is gebeurd. Het is mogelijk om een bestaande overeenkomst, bijvoorbeeld een freelance-overeenkomst aan te vullen met de genoemde punten. In veel gevallen is het echter handiger om een aparte bewerkersovereenkomst te sluiten. Deze kan dan ook eerder gesloten worden en langer gelden dan andere overeenkomsten, net als een geheimhoudingsverklaring.
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.