Volgens artikel 14 van de Wet bescherming Persoonsgegevens bent u als ondernemer verplicht om afspraken schriftelijk vast te leggen met een bewerker als u de verwerking van persoonsgegevens uitbesteedt.
Bewerkersovereenkomst en Privacy verordening
Op 4 mei 2016 zijn de wetteksten van de Privacy verordening en de Richtlijn in het Publicatieblad van de Europese Unie gepubliceerd. Op 6 mei 2018 moeten de EU-lidstaten de Richtlijn hebben omgezet in nationale wetgeving en vanaf 25 mei 2018 is de Privacy verordening van toepassing.
Net als de Wet bescherming Persoonsgegevens schrijft ook de Privacy verordening het gebruik van bewerkersovereenkomsten voor wanneer ervoor wordt gekozen de verwerking van persoonsgegevens uit te besteden. De Privacy verordening gaat echter verder dan de Wet bescherming Persoonsgegevens. Wanneer u op dit moment geen bewerkersovereenkomst heeft gesloten, kan er geen boete conform artikel 66 Wet bescherming Persoonsgegevens worden opgelegd. Wel kan de Autoriteit Persoonsgegevens een last onder dwangsom opleggen.
Vanaf 25 mei 2018 is dat anders. In de Privacy verordening staan niet alleen regels waaraan de bewerkersovereenkomst moet voldoen. Er staat ook in dat er een boete kan worden opgelegd indien u geen bewerkersovereenkomst heeft gesloten. In artikel 83 van de Privacy verordening staat dat een boete van maximaal 10.000.000 euro of 2% van de wereldwijde omzet kan worden opgelegd. Kortom: reden genoeg om aan de regels te voldoen.
Inhoud bewerkersovereenkomst
In de bewerkersovereenkomst dienen volgens de Privacy verordening de volgende punten in ieder geval te worden opgenomen:
- de duur en de specifieke doeleinden van de gegevensverwerking;
- de vertrouwelijkheid dient gewaarborgd te worden;
- beveiligingsverplichtingen en audits;
- het soort persoonsgegevens dat verwerkt wordt;
- de betrokkenen op wie de gegevens zien;
- vernietiging gegevens na de contractduur.
Bovendien mag de bewerker voortaan niet meer, zonder voorafgaande toestemming van de verantwoordelijke, een externe partij inschakelen om persoonsgegevens te verwerken.
Verder bepaalt de Privacy verordening dat de bewerkersovereenkomst schriftelijk of in elektronische vorm moet zijn vastgelegd.
Tot slot kan de Autoriteit Persoonsgegevens volgens de verordening modelovereenkomsten en/of modelbepalingen voor een bewerkersovereenkomst opstellen. De kans is aanwezig dat de Autoriteit Persoonsgegevens op korte termijn bepalingen op haar website plaatst. Tot dat moment kunt u natuurlijk bij de advocaten van JPR terecht voor een goede bewerkersovereenkomst.
Conclusie: anticipeer tijdig!
Vanaf mei 2018 dient u als verantwoordelijke of als bewerker in geval van verwerking van persoonsgegevens een bewerkersovereenkomst te hebben gesloten. Het is dus zaak tijdig te anticiperen op de Privacyverordening en goede bewerkersovereenkomsten te sluiten om boetes in de toekomst te voorkomen.