Nieuwe privacywet, top 10 veranderingen

vrijdag 28 april 2017


De nieuwe privacywet: de top 10 veranderingen


In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.

1. Bewerkersovereenkomsten uitbreiden
2. Nieuwe regels over gegevens van kinderen
3. Datamap aanleggen
4. Toestemmingseisen worden strenger
5. Regels over profilering
6. Soms is een Privacy Impact Assessment (PIA) verplicht
7. Soms is een Functionaris Gegevensbescherming (FG) verplicht
8. Het recht op "dataportabiliteit"
9. Waar mogelijk "privacy by design" en "privacy by default" toepassen
10. Privacyverklaring moet uitgebreider

In dit blog: wat moet er minimaal in een bewerkersovereenkomst staan?

______________


De bewerkersovereenkomst: wat moet er in staan?

Een bewerkersovereenkomst is een overeenkomst die wordt gesloten met “bewerkers”. In de nieuwe privacywetgeving worden dit "verwerkers" genoemd. De nieuwe privacywetgeving schrijft uitgebreider voor wat er minimaal in zo'n bewerkersovereenkomst moet worden opgenomen.


Wat is een “bewerker” of "verwerker"?

Als uw organisatie is aan te merken als verantwoordelijke en handelingen met persoonsgegevens (denk bij "handelingen" aan opslaan, inzien, aanpassen, verwijderen, doorsturen e.d.) uitbesteedt aan een externe leverancier of dienstverlener, dan is zo´n externe leverancier of dienstverlener aan te merken als een bewerker. 

De bewerker mag alleen handelingen met de persoonsgegevens verrichten in opdracht van uw organisatie en dit niet voor eigen doeleinden doen. 

Veel voorkomende voorbeelden van uitbesteding van persoonsgegevens aan een bewerker zijn: 

o   Hosting en/of beheer van een website / applicatie / IT omgeving
o   Het plaatsen van persoonsgegevens in de cloud
o   Outsourcing aan een IT bedrijf
o   Callcenters die consumenten bellen
o   Salarisverwerkingsbureaus die salarissen verwerken
o   Mediabureaus die commerciële mailings sturen
o   Externe klantenservice
o   Onderaannemers aan wie een administratie, bijvoorbeeld financiële administratie of personeelsadministratie, is geoutsourced. 


Waarom is dit relevant? 

Dit is relevant omdat uw organisatie bij uitbesteding aan een bewerker moet weten wat er met de persoonsgegevens gebeurt. Uw organisatie is namelijk verantwoordelijk en aansprakelijk voor het naleven van de privacywetgeving door de bewerker. Als er bij de bewerker bijvoorbeeld een datalek is, dan is uw organisatie degene die het datalek moet melden aan de toezichthouder, de Autoriteit Persoonsgegevens. 

Daarom schrijft de privacywetgeving, tot 24 mei 2018 de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming voor dat er een overeenkomst moet worden gesloten met de bewerker om afspraken te maken over wat de bewerker met de persoonsgegevens mag en moet doen.


Wat staat er in de Algemene Verordening Gegevensbescherming (AVG) over bewerkersovereenkomsten? 

De AVG schrijft, in artikel 28, voor dat alleen bewerkers mogen worden ingehuurd die voldoende garanties kunnen geven dat zij "passende technische en organisatorische maatregelen" hebben genomen om te zorgen dat wordt voldaan aan de verplichtingen uit de AVG, en ook om te zorgen dat de rechten van de personen wiens persoonsgegevens worden verwerkt, worden gewaarborgd. 

In artikel 28 staat verder dat er met de bewerker een bewerkersovereenkomst moet worden gesloten die minimaal de volgende bepalingen moet omvatten: 


1.       Omschrijving van de “verwerking” door de bewerker

In de overeenkomst moet worden aangegeven: 

o   een omschrijving van de verwerking; 

o   hoe lang de verwerking duurt; 

o   wat de aard is en het doel van de verwerking; 

o   het soort persoonsgegevens en de categorieën betrokken personen wiens persoonsgegevens worden verwerkt. 


2.       Toestemming voor uitbesteden aan sub-bewerkers

Als de bewerker handelingen met de persoonsgegevens uitbesteedt aan andere bewerkers (sub-bewerkers), dit zijn meestal onderaannemers van de bewerker, dan moet uw organisatie daarvoor voorafgaande specifieke of algemene toestemming geven.

Als er algemene toestemming wordt gegeven moet de bewerker wijzigingen van sub-bewerkers melden aan uw organisatie en uw organisatie de mogelijkheid geven bezwaar te maken. 


3.       Dezelfde verplichtingen opleggen aan sub-bewerkers

De bewerker moet ingehuurde sub-bewerkers dezelfde minimale verplichtingen opleggen als de in deze lijst opgesomde verplichtingen die uw organisatie aan de bewerker moet opleggen.


4.       Alleen handelen in opdracht van uw organisatie

De bewerker mag alleen maar handelingen met de persoonsgegevens verrichten in opdracht van uw organisatie. Dat wil zeggen: de bewerker mag alleen die handelingen verrichten die noodzakelijk zijn voor het uitvoeren van de diensten die de bewerker voor uw organisatie verricht. De bewerker mag niet zelfstandig bepalen wat er met de persoonsgegevens gebeurt.

Als het bijvoorbeeld gaat om een hosting partij, dan zal deze partij de persoonsgegevens alleen mogen opslaan en deze incidenteel, als dat echt noodzakelijk is, voor beheerdoeleinden in mogen zien. Zo’n partij mag die gegevens bijvoorbeeld niet zelf gaan analyseren of ze zelf aanpassen. Als het bijvoorbeeld gaat om een marketingbureau dat e-mails verstuurt naar uw klantendatabase, dan zal het marketingbureau de e-mailadressen alleen mogen gebruiken voor het versturen van die e-mails en deze niet bijvoorbeeld aan andere klanten verstrekken of e-mails van andere klanten sturen naar de e-mailadressen in die database.

Het betekent ook dat de bewerker de persoonsgegevens niet zonder toestemming van uw organisatie mag doorgeven aan andere partijen. De enige uitzondering daarop is als de bewerker op grond van een Europeesrechtelijke wettelijke verplichting verplicht wordt de gegevens af te staan, meestal zal dit zijn aan een overheidsinstantie.    


5.       Beveiligen persoonsgegevens

Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de bewerker. In de bewerkersovereenkomst moet staan dat de bewerker “passende technische en organisatorische maatregelen” neemt om de persoonsgegevens te beveiligen. De Autoriteit Persoonsgegevens stelt daarbij als eis dat de beveiligingsmaatregelen ook worden omschreven in de bewerkersovereenkomst.

6.       Zorgen voor geheimhouding door medewerkers

De bewerker moet ervoor zorgen dat de personen die de persoonsgegevens onder toezicht van de bewerker verwerken, verplicht zijn tot geheimhouding van die persoonsgegevens, ofwel door middel van afspraken met de verantwoordelijke ofwel op basis van een beroepsmatige geheimhoudingsplicht. 


7.       Uw organisatie helpen  

In de overeenkomst moet staan dat de bewerker uw organisatie door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, assisteert bij het beantwoorden van verzoeken van de personen om wiens gegevens het gaat, bij het beveiligen van de persoonsgegevens, het melden van datalekken, het uitvoeren van PIA´s en (wanneer dat nodig is) voorafgaande raadpleging van de Autoriteit Persoonsgegevens.

De bewerker mag daarbij rekening houden met de aard van de verwerking en de informatie die de bewerker ter beschikking staat. 


8.       Persoonsgegevens weer overdragen of vernietigen 

Na het einde van de dienstverlening door de bewerker moet deze de persoonsgegevens wissen of de persoonsgegevens aan de uw organisatie teruggeven en bestaande kopieën verwijderen. 


9.       Audits toestaan en informatie aan uw organisatie geven 

De bewerker moet audits toestaan en informatie aan uw organisatie geven zodat uw orgaisatie na kan gaan of de bewerker de verplichtingen uit de bewerkersovereenkomst nakomt.


Moet er in de bewerkersovereenkomst iets worden opgenomen over de kosten?

De AVG bepaalt niet dat er afspraken moeten worden gemaakt over de kosten die de bewerker moet maken om te voldoen aan de bepalingen in de overeenkomst. Het is wel aan te raden dit te doen, om achteraf discussies over de kosten te voorkomen.


Moeten de afspraken altijd in een aparte bewerkersovereenkomst staan?

Nee, strikt genomen hoeven de afspraken niet in een aparte bewerkersovereenkomst staan. Ze kunnen bijvoorbeeld ook in algemene voorwaarden staan of in een dienstverleningsovereenkomst.

Toch is het wel aan te raden om de afspraken vast te leggen in een aparte overeenkomst omdat: 

o   Het verwerken van de persoonsgegevens dan uitdrukkelijk onder de aandacht komt zodat het duidelijk is dat dit een aandachtspunt is; 

o   De afspraken specifieker kunnen worden vastgelegd voor de betreffende verwerkingen; 

o   Als de Autoriteit Persoonsgegevens inzage wil in de afspraken, alleen de bewerkersovereenkomst kan worden getoond en de commerciële fspraken niet.


Wat betekent dit voor mijn organisatie?

Per 25 mei 2018 zullen bewerkersovereenkomsten minimaal de hierboven genoemde bepalingen moeten bevatten. Bestaande bewerkersovereenkomsten kunnen worden gescreend om na te gaan of de genoemde bepalingen erin staan en, waar nodig, worden aangevuld met een wijziging van de overeenkomst. Bij nieuwe uitbestedingen kunnen nieuwe "AVG bewerkersovereenkomsten" worden gebruikt.

 

__________________

Zelf een AVG bewerkersovereenkomst maken?

Onze bewerkersovereenkomst generatoren:

Bewerkersovereenkomst dienstverleners AVG

Bewerkersovereenkomst Hosting

Bewerkersovereenkomst Cloud

Bewerkersovereenkomst ZZP-ers

__________________________

 

Plaats uw commentaar