De bewerkersovereenkomst / verwerkersovereenkomst23 november 2016

In de Europese Unie (EU) heeft elke lidstaat een eigen privacywet. Deze nationale wetten zijn gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp).

De Wbp vereist dat de verantwoordelijke de uitvoering van verwerkingen (van persoonsgegevens) door een bewerker vastlegt in een overeenkomst. Een dergelijke overeenkomst heet een bewerkersovereenkomst. Ter illustratie een voorbeeld: een bureau dat de salarisadministratie voor een onderneming - de verantwoordelijke - voert, is een bewerker.

  • Verantwoordelijke: diegene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Met andere woorden: de verantwoordelijke heeft de zeggenschap over de persoonsgegevens die worden verwerkt.
  • Bewerker: diegene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Het gaat dus bijvoorbeeld niet om een werknemer die in een gezagsverhouding staat tot zijn werkgever.

Weer even terug naar het voorbeeld van het bureau dat de salarisadministratie doet voor een onderneming: in de bewerkersovereenkomst wordt vastgelegd hoe het salarisadministratiebureau moet omgaan met de persoonsgegevens waar de onderneming zeggenschap over heeft en verantwoordelijk voor is.

In de bewerkersovereenkomst dienen in ieder geval bepalingen te zijn opgenomen betreffende geheimhouding, alsmede de beveiliging van de persoonsgegevens. Ook kan gedacht worden aan bepalingen over de meldplicht datalekken, aansprakelijkheid, het inschakelen van sub-bewerkers, etc..

De naam zegt het al: het is de verantwoordelijkheid van de verantwoordelijke dat er een bewerkersovereenkomst wordt gesloten. Op de verantwoordelijke rust de verplichting om de bewerker te verplichten om voldoende waarborgen te treffen ten aanzien van de organisatorische en technische beveiliging. Ook rust op de verantwoordelijke de verplichting om toe te zien op de naleving van de genomen maatregelen.

Algemene Verordening Gegevensbescherming

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Deze Verordening zal rechtstreeks van toepassing zijn in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten.

Met de komst van de Algemene Verordening Gegevensbescherming worden de begrippen 'bewerker' en 'bewerkersovereenkomst' per 25 mei 2018 veranderd in 'verwerker' en 'verwerkersovereenkomst'.

Tot slot

Heeft u vragen over dit onderwerp en/of wilt u een overeenkomst laten opstellen? Neem dan vrijblijvend contact met mij op!

Deel deze pagina:

Contactpersoon