De GDPR (General Data Protection Regulation) vervangt vanaf 25 mei 2018 de Wbp (Wet bescherming persoonsgegevens). Deze verordening staat in Nederland ook wel bekend onder de naam AVG (Algemene Verordening Gegevensbescherming). Met de komst van de GDPR verandert onder andere de bewerkersovereenkomst. Maar wat verandert er precies aan de bewerkersovereenkomst? En wat betekent dit voor afspraken die je hebt gemaakt met je leveranciers?
Bewerkersovereenkomst
(met ingang van de GDPR: verwerkersovereenkomst)
In een bewerkersovereenkomst wordt vastgelegd hoe een bewerker om moet gaan met persoonsgegevens. Deze overeenkomst geldt tussen de verantwoordelijke voor de persoonsgegevens en de partij die de persoonsgegevens voor hem verwerkt. Deze partij wordt onder de Wbp bewerker genoemd. Wanneer de GDPR ingaat, zal deze partij verwerker heten. De Engelse benaming voor bewerkersovereenkomst is Data Processing Agreement (DPA).
In een bewerkersovereenkomst worden onder andere de doeleinden van de gegevensverwerking opgenomen. Ook de soort persoonsgegevens die worden verwerkt, staan in de bewerkersovereenkomst. Wanneer een bewerker persoonsgegevens verwerkt voor een verantwoordelijke, is een bewerkersovereenkomst tussen beide partijen verplicht.
Verantwoordelijke
De verantwoordelijke stelt het doel en de middelen voor de verwerking vast. Bijvoorbeeld wanneer jouw bedrijf gegevens van medewerkers verwerkt. Een salarisstrook is een voorbeeld hiervan. Het bedrijf is dan verantwoordelijk voor deze gegevens.
Bewerker (met ingang van de GDPR: Verwerker)
De bewerker, of met ingang van de GDPR ‘verwerker’, verwerkt de persoonsgegevens voor de verantwoordelijke. Bijvoorbeeld het salarisadministratiekantoor dat voor jouw bedrijf de salarissen uitbetaalt.
Verwerkersovereenkomst en verwerker
Met ingang van de GDPR worden de begrippen bewerkersovereenkomst en bewerker vervangen door verwerkersovereenkomst en verwerker. De definitie van de begrippen ‘verantwoordelijke’ en ‘verwerker’ verandert inhoudelijk niet.
De verantwoordelijke en verwerker moeten afspraken maken over de verwerking, want beide partijen zijn verplicht deze overeenkomst te hebben. De verwerkersovereenkomst is vormvrij, dit betekent dat je de verwerkersovereenkomst zelfs in de Algemene Voorwaarden mag opnemen. Wees er dan wel zeker van dat je Algemene Voorwaarden van toepassing en bindend zijn. Veelal wordt er toch een aparte overeenkomst opgemaakt, omdat alle bepalingen dan bij elkaar staan.
Inhoud verwerkersovereenkomst
In een verwerkersovereenkomst moet onder andere staan over welke gegevensverwerking deze betrekking heeft. Ook moet in een verwerkersovereenkomst worden opgenomen welke partijen er betrokken zijn bij de verwerking van een bepaald persoonsgegeven. Wie er verantwoordelijk is voor het melden van datalekken, is ook raadzaam op te nemen in de verwerkersovereenkomst. Wat moet er verder in een verwerkersovereenkomst staan? Is jouw bewerkersovereenkomst klaar voor de GDPR? De meest raadzame punten die je in een verwerkersovereenkomst op kan nemen, vind je in onderstaande checklist:
- Het onderwerp van de verwerking
- Het doel van de verwerking
- Van wie de gegevens zijn (bijvoorbeeld klanten of medewerkers)
- De getroffen beveiligingsmaatregelen
- Je kan afspraken maken over het toetsen op de naleving van de overeenkomst door middel van een audit.
- Wat er met de gegevens gebeurt, wanneer een overeenkomst afloopt. Worden deze gewist? Binnen welke periode?
Er is al snel sprake van het verwerken van persoonsgegevens. Het kunnen inzien van de gegevens door een externe helpdesk, wordt al als verwerking gezien. Wanneer je al een bewerkersovereenkomst afgesloten hebt met je leveranciers, is de kans aanwezig dat veel vereisten al zijn ingevuld. Heb je vragen over de verwerkersovereenkomst? Of over de GDPR? Neem contact met ons op of bezoek onze website gdpr.eshgro.nl