Dat een bewerkersovereenkomst noodzakelijk is in veel samenwerkingen, wordt gelukkig steeds bekender. Toch is het voor veel organisaties niet duidelijk wanneer er nu wel en wanneer er nu niet een bewerkers-overeenkomst moet worden gesloten. Met onderstaande richtlijnen probeer ik u een paar handvatten mee te geven.
Een bewerkersovereenkomst of data processing agreement (DPA) wordt gesloten tussen verantwoordelijke en bewerker. De verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, bijvoorbeeld een bedrijf dat zijn salarisadministratie uitbesteedt. De bewerker (processor) is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In dit voorbeeld is dat het administratiekantoor dat de salarisadministratie afhandelt.
Het wettelijk criterium om de bewerker van de verantwoordelijke te onderscheiden is dat de verantwoordelijke het doel en de middelen vaststelt. De bewerker kan en mag dit niet: de bewerker heeft louter een opdracht gekregen en dient alle instructies van de verantwoordelijke op te volgen.
Doel
De verantwoordelijke kiest het doel van de gegevensverwerking. Voorbeelden daarvan zijn: het uitbetalen van salarissen van medewerkers, het bijhouden van de bezoekersaantallen op een website, het registreren van de aankopen in een winkel ten behoeve van het loyalty programma, het uitvoeren van een overeenkomst, etc.
Als de bewerker zelf ook een doel heeft met de persoonsgegevens, bijvoorbeeld omdat de bewerker zelf partijen wil benaderen voor de verkoop van producten, dan is de bewerker géén bewerker maar zelf ook verantwoordelijke.
Middelen
Het tweede criterium is het vaststellen van de middelen. De verantwoordelijke stelt de middelen voor de gegevensverwerking in principe zelf vast. Hiermee wordt bedoeld dat de verantwoordelijke beslist op welke wijze de gegevensverwerking zal plaatsvinden.
Soms lijkt het erop dat een bewerker zelf de middelen kiest, bijvoorbeeld bij een SaaS dienstverlener. De dienstverlener heeft dan zelf de software ontwikkeld die wordt gebruikt bij het verwerken van de persoonsgegevens. Toch maakt hem dat niet de verantwoordelijke. Belangrijk is dat de verantwoordelijke zelf de keuze maakt om met deze SaaS dienstverlener te gaan samenwerken en dat de dienstverlener daarbij gebruik maakt van de SaaS dienst. De opdrachtgever kiest dan dus de middelen, en geeft de dienstverlener de opdracht tot verwerking.
Gezag
Er mag geen hiërarchische relatie bestaan tussen verantwoordelijke en bewerker. Dus werknemers zijn geen bewerkers; zzp’ers/freelancers weer wél! De bewerkersovereenkomst is belangrijk als er sprake is van een overeenkomst van opdracht, maar de verplichting kan ook volgen uit een samenwerkingsovereenkomst of dienstverleningsovereenkomst. Bij twijfel: checken! Het niet voldoen geeft de verantwoordelijke het risico van een boete.
Inhoud bewerkersovereenkomst
Per 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AGV) in werking en vervalt de Wet bescherming persoonsgegevens (Wbp). Deze Europese privacywet regelt expliciet wat in een bewerkersovereenkomst moet worden geregeld. De AVG benoemt onder meer de volgende punten die opgenomen moeten worden in de bewerkersovereenkomst:
Derde partij en hoofdelijke aansprakelijkheid
Op grond van de AVG mag een bewerker niet meer een externe partij inschakelen om persoonsgegevens te verwerken zonder voorafgaande schriftelijke toestemming van de verantwoordelijke. Doet de bewerker dit niet, dan is hij aansprakelijk voor alle schade die daardoor ontstaat. Die hoofdelijke aansprakelijkheid is ook een noviteit.
Data sharing
Als de bewerker zelf ook een doel heeft voor de verwerking van persoonsgegevens, dan zijn beide partijen verantwoordelijk en is een bewerkersovereenkomst niet nodig. Wel kan een overeenkomst ten aanzien van het delen van de data (data sharing) handig zijn. Een fout van de ene partij kan immers de andere partij ook schaden, zeker omdat het voor betrokkenen niet altijd duidelijk is wie de fout maakt en zij dus beide partijen als één interpreteren.
Register
Daarnaast is de verantwoordelijke op basis van de AVG verplicht om een register bij te houden van de verwerkingen die worden verricht. In dat register dient ook opgenomen te worden welke bewerkers worden ingeschakeld en waarvoor.
Meer weten?
