Autoriteit Persoonsgegevens laat haar zienswijze op eisen van bewerkersovereenkomst blijken

Terug naar articles

25 mei, 2016

Algemene Verordening Gegevensbescherming | Considerati

De Autoriteit Persoonsgegevens heeft in een persbericht de minimumeisen die aan een bewerkersovereenkomst worden gesteld opgefrist. Dat doet zij naar aanleiding van een onderzoek naar de bewerkersovereenkomsten tussen drie ziekenhuizen en het Belgische digitalisatiebedrijf iGuana.

Een van de ziekenhuizen had geen bewerkersovereenkomst en de andere twee voldeden niet aan alle eisen. Organisaties lopen, als verantwoordelijke, het risico op een hoge boete indien zij geen (correcte) bewerkersovereenkomst hebben.

De bewerkersovereenkomst is wettelijk verplicht en moet worden opgesteld tussen de verantwoordelijke voor de gegevensverwerking (in dit geval het ziekenhuis) en de bewerker (iGuana). In de overeenkomst moeten voor de bewerker verplichtingen worden opgenomen over bijvoorbeeld de beveiliging van de gegevens.

Tevens wordt erin opgenomen dat de bewerker de gegevens slechts mag verwerken voor de doeleinden die zijn bepaald door de verantwoordelijke. Naast dat het wettelijk verplicht is heeft de bewerkersovereenkomst ook veel nut, omdat de aansprakelijkheid over en weer wordt geregeld.

iGuana is een bedrijf dat in opdracht van de ziekenhuizen medische dossiers digitaliseert. Een ziekenhuis, de verantwoordelijke voor de medische gegevens, mag deze verwerking wettelijk gezien uitbesteden aan een andere organisatie, de bewerker.

Volgens de Wet bescherming persoonsgegevens moet het ziekenhuis dan wel een bewerkersovereenkomst sluiten met de bewerker (in dit geval iGuana). Na onderzoek bleek dat één ziekenhuis helemaal geen bewerkersovereenkomst had opgesteld en dat de andere twee niet voldeden aan de eisen. Zo was niet expliciet een geheimhoudingsplicht opgenomen en ontbraken details over de duur van de opslag en de beveiliging van gegevens.

De AP frist naar aanleiding van het voorgaande het geheugen van iedereen op met het volgende lijstje minimumeisen:

  • “De overeenkomst moet specifiek gaan over de gegevensverwerking door de bewerker.
  • De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen.
  • In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
  • Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.”

Veel is er niet veranderd, maar het is nu duidelijk geworden dat er volgens de toezichthouder altijd een aparte bewerkersovereenkomst moet zijn. De overeenkomst mag dus geen onderdeel zijn van een andere overeenkomst, zoals de Service Level Agreement (SLA). Bovendien was hiervoor niet duidelijk dat de verplichtingen zo gedetailleerd moesten worden opgenomen.

Al met al is het prettig dat de Autoriteit Persoonsgegevens na drie jaar haar zienswijze op de eisen die aan de bewerkersovereenkomst worden gesteld heeft opgehelderd, omdat er zo voor bedrijven meer duidelijkheid ontstaat over waar de toezichthouder op let. Het blijft echter de zienswijze van de Autorteit. Een rechter kan en mag altijd anders oordelen.

Mocht u vragen hebben over bewerkersovereenkomsten, neem dan contact met ons op.

,

Considerati_Navid
Navid Kamalzadeh

Juridisch Adviseur

Gerelateerde blogs

Algemene Verordening Gegevensbescherming | Considerati

Internetconsultatie Uitvoeringswet Algemene Verordening Gegevensbescherming is gestart

Vandaag is de consultatie gestart voor de Uitvoeringswet van de Algemene Verordening...

Lees meer

shutterstock_6114589

Amazon: verzenden vóór aankoop?

Onlangs verkreeg Amazon een octrooi op 'anticiperende pakketverzending' (anticipatory package...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.