artikelen

artikelen

Ruby Nefkens, 4 maart 2016

Bewerkersovereenkomst

Wanneer u bedrijfsmatig persoonsgegevens verzamelt dan heeft u te maken met de Wet bescherming persoonsgegevens (Wbp). Ik schreef al eerder dat per 1 januari jl. de regels zijn aangescherpt en dat er nu (hoge) boetes kunnen worden opgelegd wanneer deze wet niet wordt nageleefd.

Het naleven van de Wbp betekent onder andere dat u ervoor zorgt dat de door uw verzamelde persoonsgegevens goed worden beveiligd en dat u waarborgen inbouwt om te kunnen voldoen aan de meldplicht datalekken.

Wat zijn ook al weer persoonsgegevens? De gegevens van een persoon die linken naar deze persoon (naam, telefoonnummer, adres, e-mailadres, geboortedatum, geslacht etc.) zijn persoonsgegevens. Personeelsgegevens zijn persoonsgegevens, maar ook de gegevens van uw klanten. Als men zich bij u kan aanmelden voor het krijgen van uw nieuwsbrief, is het e-mailadres van deze (potentiële) klant een persoonsgegeven.

In veel gevallen heeft u een overeenkomst met uw ICT bedrijf. Dit bedrijf, dat niet zelf uw persoonsgegevens verzamelt, maar wel het beheer ervan heeft, is ook gebonden aan de Wbp.

Om ervoor te zorgen dat u de Wbp kunt naleven is het belangrijk om met het bedrijf dat uw persoonsgegevens beheert een zogenaamde Bewerkersovereenkomst te sluiten. In deze overeenkomst spreekt u met de Bewerker af hoe hij omgaat met de door u verzamelde persoonsgegevens en dat hij u tijdig waarschuwt wanneer er iets mis gaat.

Een goede beveiliging houdt in dat de Bewerker er voor zorgt dat de persoonsgegevens niet:

  • (per ongeluk) worden vernietigd, verloren of aangetast;
  • in handen komen van onbevoegde derden;
  • misbruikt worden of op andere wijze in strijd met de Wbp worden verwerkt.

Omdat het opslaan van persoonsgegevens op servers in de VS op dit moment niet voldoet aan de Wbp en het de vraag is of dat in de toekomst wel zo zal zijn, is het bovendien raadzaam om met de Bewerker af te spreken om de gegevens op te slaan op servers in Europa.

Hoe kan de Bewerker aan deze verplichtingen voldoen? Onder andere door het instellen van login en wachtwoord procedures en het hanteren van beveiligingssoftware. Ook dient de Bewerker er voor te zorgen dat de gebouwen waar de servers staan en de systemen die gebruikt worden veilig zijn en dat alleen hardware en software wordt gebruikt van hoge kwaliteit. De personen die met uw persoonsgegevens werken moeten ook goede instructies krijgen.

Kortom, het maken van goede afspraken met uw ICT bedrijf over de verwerking van de door u verzamelde persoonsgegevens is van groot belang. Kijkt u nog eens na of u wel een goede Bewerkersovereenkomst met uw ICT bedrijf heeft gesloten en wat uw interne procedures zijn om te voldoen aan de Wbp.

Ruby Nefkens
nefkens@vandersteenhoven.nl
+31643368063

Aan de samenstelling en inhoud van dit artikel is de meeste zorg besteed. Ruby Nefkens en Van der Steenhoven advocaten aanvaarden geen verantwoordelijkheid ten aanzien van op basis van dit artikel genomen beslissingen, tenzij zij vooraf in concrete gevallen zijn geraadpleegd.

 

Contact opnemen met ons?
 

  +31 (0)20 607 79 79
 

  mail@vandersteenhoven.nl