BEWERKERS

Afbeelding voor categorie BEWERKERS


WAT ZIJN BEWERKERS?


Eerst de vraag: wat zijn "verantwoordelijken"?

Uw organisatie gebruikt een bepaalde set persoonsgegevens. Bijvoorbeeld als werkgever voor werknemersgegevens, als websitehouder voor klantgegevens, als energieleverancier voor abonneegegevens, als winkeleigenaar voor camerabeelden.

Als uw organisatie degene is die bepaalt waarom de persoonsgegevens worden opgevraagd en gebruikt en hoe dat gebeurt, dan is uw organisatie aan te merken als “verantwoordelijke” voor die persoonsgegevens.

Uw organisatie is er dan verantwoordelijk voor om de regels uit de Wet bescherming persoonsgegevens na te leven.

Wat zijn “bewerkers”?

Wanneer uw organisatie handelingen (juridische uitdrukking: “verwerkingen”) met persoonsgegevens uitbesteedt aan een externe leverancier of dienstverlener dan is zo´n externe leverancier of dienstverlener meestal aan te merken als een “bewerker”.

Met “externe partij” wordt bedoeld een persoon of partij die niet een werknemer van de verantwoordelijke is en ook niet een onderneming binnen dezelfde groep en die alleen in opdracht van de verantwoordelijke handelingen met de persoonsgegevens verricht.

Veel voorkomende voorbeelden van uitbesteding van persoonsgegevens aan een bewerker zijn:

- Hosting en/of beheer van een website / applicatie / IT omgeving
- Het plaatsen van persoonsgegevens in de cloud
- Outsourcing aan een IT bedrijf
- Callcenters die consumenten bellen
- Salarisverwerkingsbureaus die salarissen verwerken
- Mediabureaus die commerciële mailings sturen
- Externe klantenservice
- Onderaannemers aan wie een administratie, bijvoorbeeld financiële administratie of personeelsadministratie, is geoutsourced

Wat als het toch niet duidelijk is?

Soms is het toch niet duidelijk of een externe partij nu daadwerkelijk bewerker is.

Het makkelijkste handvat om vast te stellen of een externe partij bewerker is: heeft de partij zelf rechtstreeks een (contractuele) relatie met de betreffende personen of worden die diensten alleen geleverd aan de verantwoordelijke?

Zo zullen bijvoorbeeld postorderbedrijven, incassobureaus, leasemaatschappijen,  pensioenadviesbureaus in de regel niet als bewerkers worden aangemerkt omdat zij zelf een contractuele relatie hebben met de betreffende personen. Dit soort partijen zijn dan zelf aan te merken als verantwoordelijke voor de set persoonsgegevens.

Wat is een bewerkersovereenkomst?

De privacywet schrijft voor dat met een bewerker een "bewerkersovereenkomst" moet worden gesloten.

In zo’n overeenkomst moet in ieder geval staan dat de bewerker de persoonsgegevens alleen mag behandelen in opdracht van de verantwoordelijke, deze geheimhoudt, zorgt voor voldoende beveiliging en (per 1 januari 2016) datalekken meldt aan de verantwoordelijke.

Verder zijn afspraken over het uitbesteden aan sub-bewerkers, auditrechten, rapportages, medewerkingsplichten, informatieplichten en doorgifte naar buiten de Europese Economische Ruimte (EER) van belang. Voor meer informatie over doorgifte naar buiten de EER, bijvoorbeeld naar servers in de Verenigde Staten, kijk in het Factsheet Dataexport.

Op onze website kunt u diverse bewerkersovereenkomsten zelf configureren en bestellen:

Deze bewerkersovereenkomsten zijn gebaseerd op de “nieuwe privacywet” (de Algemene Verordening Gegevensbescherming) die per 25 mei 2018 van kracht wordt:  

Bewerkersovereenkomst Dienstverleners AVG
Bewerkersovereenkomst Hosting AVG
Bewerkersovereenkomst Cloud AVG
Eenvoudige bewerkersovereenkomst ZZP-ers AVG

Heeft u al een bestaande bewerkersovereenkomst, dan kunt u voor het regelen van datalekken (dit geldt per 1 januari 2016) ook alleen een Clausule Datalekken bestellen.

Download deze informatie als Factsheet.