Bewerkersovereenkomst

advertisement
Bewerkersovereenkomst
Leidraad bij het opstellen van
bewerkersovereenkomsten.
Steeds meer bedrijven besteden een
groot deel van hun ICT-activiteiten uit
aan dienstverlenende bedrijven. Deze
dienstverlenende bedrijven bieden
verschillende niveaus van diensten om
klanten in hun processen te
ondersteunen. Deze diensten worden
doorgaans aangeduid als IaaS, PaaS, of
SaaS. Een belangrijk onderdeel van de
dienstverlening betreft de verwerking
van persoonsgegevens die onder de
Wet Bescherming Persoonsgegevens
vallen. Verwerking van
persoonsgegevens: elke handeling of elk
geheel van handelingen met betrekking
tot persoonsgegevens, waaronder in
ieder geval het verzamelen, vastleggen,
ordenen, bewaren, bijwerken, wijzigen,
opvragen, raadplegen, gebruiken,
verstrekken door middel van
doorzending, verspreiding of enige
andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband
brengen, alsmede het afschermen,
uitwissen of vernietigen van gegevens.
Met de toename van de dienstverlening,
stijgt ook het risico voor de
dienstverlener. Immers, als verwerker
van de data van klanten neemt de
dienstverlener een deel van de
aansprakelijkheid op zich o.a. in geval
van diefstal of verlies van data. Hoewel
deze aansprakelijkheid eventueel
contractueel beperkt kan worden,
kunnen niet alle risico's worden
uitgesloten. De dienstverlener heeft een
eigen verantwoordelijkheid op grond
van diens zorgvuldigheidsplicht volgens
de Wet bescherming persoonsgegevens
(art 14 Wbp).
Wat is een
bewerkersovereenkomst?
Een bewerkersovereenkomst is,
voor zowel de Bewerker
Chubb Pro ICT
(dienstverlener) als de
Verantwoordelijke (opdrachtgever),
de beste manier om risico's te
beperken. In een dergelijke
overeenkomst worden de
verantwoordelijkheden van elke
betrokken partij, in geval van
schade door bijvoorbeeld diefstal of
verlies van data, vastgelegd. Het is
van groot belang alle
verantwoordelijkheden en
eventuele activiteiten van de
Bewerker ondubbelzinnig vast te
leggen. De Bewerker dient niet
meer of minder uit te voeren dan
afgesproken. Indien hij, buiten de
afspraken om, bewerkingen aan
data van derden uitvoert, kan hij
namelijk als Verantwoordelijke
(i.p.v. Bewerker) worden gezien en
neemt zijn aansprakelijkheid
significant toe.
De overeenkomst dient objectief en
meetbaar te zijn en duidelijke
aansprakelijkheden te bevatten. In
de overeenkomst dient vastgelegd
te worden dat de Bewerker in
opdracht en naar instructie van
Verantwoordelijke handelt en
verwezen te worden naar de
overeenkomst waarin de opdracht
is omschreven. Daarnaast dient
vastgelegd te worden dat Bewerker
passende beschermingsmaatregelen zal treffen en de door
Bewerker te treffen beveiligingsmaatregelen dienen in de
overeenkomst gespecificeerd te
worden. Concrete en meetbare
technische en organisatorische
maatregelen, in overeenstemming
met de van toepassing zijnde
wetgeving, dienen in de
overeenkomst opgenomen te
worden. Vaak wordt verwezen naar
de algemene privacywetgeving
waaraan de bewerker moet
voldoen. Dit is echter onvoldoende.
Het is aan de Verantwoordelijke om
specifieke maatregelen op te stellen
en de Bewerker kan hierbij
eventueel ondersteunend zijn.
Gegegevensverstrekking aan
derden en sub-bewerkers
Er dient duidelijk vastgelegd te worden
dat de gegevens niet mogen worden
gedeeld met derden tenzij contractueel
anders is overeengekomen. Voor het
inschakelen van sub-bewerkers dient
toestemming te worden gegeven door
de Verantwoordelijke.
Verantwoordelijke dient zich te laten
informeren over de identiteit van de
ingeschakelde sub-bewerkers en
wijzigingen daarin te monitoren. Dit
kan bijvoorbeeld door duidelijk
vermelde informatie op de website van
Bewerker. De sub-bewerkers dienen op
de hoogte te zijn van de contractuele
bepalingen tussen opdrachtgever- en
nemer. Geadviseerd wordt
verplichtingen die op de bewerker
rusten door te zetten naar de subbewerker. Doorgifte van de
persoonsgegevens naar landen die geen
passende bescherming bieden (landen
buiten de Europese Economische
Ruimte), mag alleen indien de Europese
Commissie heeft bepaald dat doorgifte
naar een dergelijk derde land is
toegestaan dan wel waarborgen zijn
ingebouwd om veilige doorgifte
mogelijk te maken. Denk hierbij aan het
gebruik van de standaard Europese
(2010/87/EU) model clausules of
binding corporate rules.







Inhoud van de overeenkomst
De bewerkersovereenkomst dient in
ieder geval de volgende gegevens te
bevatten:
 De duur, het onderwerp van de
dienstverlening en het type data
dat de Bewerker dient te beheren
(bijvoorbeeld medische data,


financiële gegevens of alleen
NAW-gegevens etc.).
Specificatie van hoe de data,
bijvoorbeeld aan het eind van de
overeenkomst, weer aan de
Verantwoordelijke overgedragen,
of eventueel vernietigd, dient te
worden.
Een vertrouwelijkheidsverklaring
voor de Bewerker en zijn
personeel. Hierin dient onder
meer vastgelegd te worden dat
alleen geautoriseerde personen
toegang tot de data mogen
hebben.
Een voorziening verstrekt door de
Bewerker om toegang tot
gegevens te faciliteren indien een
persoon gebruik maakt van zijn
recht op toegang tot, of correctie
en/of vernietiging van zijn
gegevens.
De verantwoordelijkheden die de
Bewerker heeft, ten aanzien van
het informeren van de
Verantwoordelijke, in geval van
een inbreuk in de systemen
waarbij gegevens van de
Verantwoordelijke zijn betrokken.
Dat datalekken gemeld dienen te
worden in het kader van de wet
meldplicht datalekken (art 34a
Wbp) en de communicatieprocedures hieromtrent.
Een lijst van locaties waar de
gegevens door bewerker (en
eventuele sub-bewerkers) kunnen
worden opgeslagen.
Het recht van de
verantwoordelijke om toezicht te
houden en de medewerking die
de bewerker hieraan dient te
verlenen.
De plicht van de Bewerker om alle
relevante veranderingen in de
functionaliteit van de
dienstverlening te melden aan de
Verantwoordelijke.
Vastlegging van hoe de logging en
auditing van gegevens door de


bewerker en eventuele subbewerker(s) dient te geschieden.
Dat alle legale verzoeken van
autoriteiten tot inzage of toegang
tot data aan de Verantwoordelijke
gemeld dienen te worden, tenzij
dit niet is toegestaan door
specifieke wetgeving.
De bewerker dient te verzekeren
dat de door hem getroffen
organisatorische en technische
beschermingsmaatregelen (en die
van eventuele sub-bewerkers)
voldoen aan de geldende
wetgeving ter bescherming van
persoonsgegevens.
Disclaimer
Dit document is geen juridisch
advies en aan de inhoud kunnen
geen rechten worden ontleend. Wij
raden u aan een jurist of advocaat te
raadplegen voor het opstellen van
een bewerkersovereenkomst.
Voor vragen en/of aanvullende
informatie, neem contact met
ons op
Chubb
Wegalaan 43
2132 JD Hoofddorp
Nederland
T 0235661800
F 0235651371
www.chubb.com/benelux
Wouter Wissink
Property & Casualty Risk Engineer
& INT Specialist, Risk Engineering
Services
T +31 (0)23 5661 832
E [email protected]
ACE heeft Chubb overgenomen, waarmee er een nieuwe, wereldwijde marktleider in de verzekeringsindustrie is ontstaan die onder de gerenommeerde naam Chubb
opereert. Aan de hier vermelde informatie kunnen geen rechten worden ontleend. De exacte dekking is afhankelijk van de voorwaarden van de specifieke polis.
Chubb Insurance Company of Europe SE heeft een vergunning van de Prudential Regulation Authority (PRA) in het Verenigd Koninkrijk onder nummer 481725.
Statutaire zetel: One America Square, 17 Crosswall, London EC3N 2AD, company no. SE13. Chubb Insurance Company of Europe SE, Nederlands bijkantoor,
Wegalaan 43, 2132 JD Hoofddorp, is ingeschreven bij KvK Amsterdam onder nummer 34322621. In Nederland valt zij onder het gedragstoezicht van de Autoriteit
Financiële Markten (AFM).
Download