Het zal geen onderneming zijn ontgaan dat vanaf 1 januari 2016 de Wet Bescherming Persoonsgegevens drastisch is gewijzigd. De belangrijkste wijziging is dat u als ondernemer de plicht heeft om aan de Autoriteit Persoonsgegevens melding te doen wanneer er een ernstige lek van persoonsgegevens heeft plaatsgevonden.

Wat ons is opgevallen, is dat er maar weinig ondernemingen zijn geweest die met ons een bewerkersovereenkomst hebben afgesloten. Via deze weg attenderen wij u graag op de (mogelijke) noodzaak hiervan. Als namelijk blijkt dat de gelekte persoonsgegevens onvoldoende beveiligd waren of onrechtmatig werden verwerkt, dan kan dat forse boetes opleveren.

Is de wet voor u van toepassing?

Met een aantal ondernemers hebben wij inmiddels de discussie mogen voeren over wat als “ernstig” moet worden beschouwd. In dit kader moet ernstig namelijk breed worden opgevat. Het is ernstig wanneer er bijvoorbeeld veel persoonsgegevens zijn ‘gelekt’, maar het is ook ernstig wanneer het gaat om gevoelige gegevens, zoals medische gegevens, van bijvoorbeeld een enkel individu. Om u te ondersteunen heeft de Autoriteit Persoonsgegevens richtlijnen opgesteld die gevolgd moeten worden om aan deze wetswijziging te kunnen voldoen.

Kort samengevat zou gesteld kunnen worden dat iedere onderneming die persoonsgegevens bewaard, met deze wet te maken heeft. U valt daar vast en zeker ook onder, bijvoorbeeld omdat u de persoonsgegevens van uw personeel digitaal heeft opgeslagen. Zodra u gevoelige persoonsgegevens beheert, heeft u in principe te maken met deze wet.

Wat is een bewerkersovereenkomst?

Misschien denkt u dat u niets hoeft te doen omdat alle persoonsgegevens die u beheert in “The Cloud” worden opgeslagen of bijvoorbeeld bij uw boekhouder. Maar in artikel 14 lid 2 van de Wet bescherming persoonsgegevens staat dat verwerkingen door een andere partij dan uzelf moeten worden geregeld in een overeenkomst. U moet dus wel degelijk iets doen, als u dit doet!

De overeenkomst die u met dergelijke partijen moet afsluiten wordt wel een “bewerkersovereenkomst” genoemd en is dus geen richtlijn of advies, maar een wettelijke verplichting. Met iedereen die u persoonsgegevens laat verwerken buiten uw eigen organisatie om, moet u een dergelijke bewerkingsovereenkomst hebben afgesloten.

Stel dat u uw salarisadministratie heeft uitbesteed aan een derde partij. Deze partij is dan de bewerker en vaak ook de beheerder van de data die tot de persoonsgegevens behoren. Als iemand schade lijdt doordat de hierboven genoemde wet niet werd of wordt nageleefd, dan kunt u, als verantwoordelijke, daarop worden aangesproken. Dat geldt ook als er sprake is van nalatigheid van de bewerker (die dan overigens ook zelf aansprakelijk kan worden gehouden).

Het is dus belangrijk om met deze bewerker een bewerkersovereenkomst af te sluiten waarin is opgenomen dat wanneer er een ernstige datalek heeft opgetreden, hij u daarvan direct op de hoogte brengt. U bent immers verantwoordelijk voor deze data en volgens de wet moet u daarom met deze partij een overeenkomst hebben afgesloten waarin u deze partij verplicht om een datalek bij u te melden zodat u dit weer bij aan de Autoriteit Persoonsgegevens kunt doorgeven.

Heeft u een bewerkersovereenkomst met Panthera BV nodig?

Misschien moet u ook wel een bewerkersovereenkomst met Panthera BV hebben afgesloten omdat u bij ons een Terminal Server, BisDrive of bijvoorbeeld een hosting afneemt waar binnen u persoonsgegevens opslaat en bewerkt. Wij kunnen dan immers bij deze data komen (al was het maar om er back-ups van te maken) en daarmee worden wij in de wet gekenmerkt als bewerker. Wees er bewust van dat u als organisatie zelf verantwoordelijk bent voor het beheer van uw persoonsgegevens en dus ook voor het afsluiten van een bewerkersovereenkomst met bijvoorbeeld Panthera BV. Twijfelt u daar aan, dan raden wij u aan even contact met ons op te nemen. We onderzoeken dan graag met u, of dit voor u richting ons nodig is.

Bewerkersovereenkomsten met derden

Ook moet u er op toezien dat u met alle ‘bewerkers’ een bewerkingsovereenkomst af te sluiten. Stel u heeft gevoelige persoonsgegevens verzamelt met een actie via een website die u bij ons host en u laat uw webbouwer daar prijswinnaars uit trekken. De webbouwer krijgt toegang tot de data via Panthera BV. Dan nog moet u iets doen. De webbouwer is net als Panthera daarmee immers ook een ‘bewerker’ geworden (hij kan immers bij deze data komen) en dus moet u met hem en met Panthera BV apart een bewerkersovereenkomst hebben afgesloten.

Wat moet er in de bewerkersovereenkomst staan?

Als verantwoordelijke moet u in staat worden gesteld om te kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Het is verstandig om in de bewerkersovereenkomst afspraken te maken over hoe u dat wilt kunnen controleren. Daarnaast is het goed om in te gaan op zaken als het gebruik van de data voor eigen doeleinden door de bewerker, geheimhoudingsplicht, locatie van opslag, aansprakelijkheid en bijvoorbeeld de onderaannemers van de bewerker.

Let wel, het volstaat niet wanneer u in de overeenkomst heeft opgenomen dat de bewerker zorgt voor “een goede beveiliging van de persoonsgegevens”. Dergelijke afspraken moeten in veel meer detail worden uitgewerkt. U bent namelijk verantwoordelijk en vanuit die verantwoordelijkheid vraagt u de bewerkers “iets” voor u te regelen. U dient daarom iets om te nemen als dat de bewerker de persoonsgegevens uitsluitend met behulp van de versleutelde SSL-techniek toegankelijk maakt aan geauthentiseerde gebruikers. Ook voor dit soort technische detail kunt u natuurlijk bij ons terecht!