Bewerkersovereenkomst (Wbp)

Bewerkersovereenkomst onder de Wet bescherming persoonsgegevensIndien uw organisatie in 2017 reeds persoonsgegevens verwerkte, bent u bekend met de term “bewerkersovereenkomst”. Deze term komt uit de Wet bescherming persoonsgegevens (Wbp). Voor diegene die de term niet kennen volgt een stukje over de bewerkersovereenkomst: wat het inhoudt, voor wie de bewerkersovereenkomst bedoeld is en wat er verandert met de komst van de AVG?

Wanneer een bewerkersovereenkomst?

Als verantwoordelijke verwerk je persoonsgegevens of kan je derde partijen inzetten om persoonsgegevens te laten verwerken. Dit gebeurt dan wel in opdracht en instructie van de verantwoordelijke. De verantwoordelijke bepaalt namelijk altijd “het doel en de middelen” van de verwerking. Een derde partij wordt in de Wbp een “bewerker” genoemd. Onder de AVG (GDPR) wordt een bewerker een verwerker genoemd.

Wanneer een verantwoordelijke een bewerker inschakelt om persoonsgegevens te laten verwerken, wordt in de Wbp verplicht gesteld dat er op dat moment een bewerkersovereenkomst wordt gesloten tussen beiden.

Inhoud bewerkersovereenkomst

Op basis van de Wbp worden een aantal zaken beschreven in de bewerkersovereenkomst. De volgende onderwerpen komen sowieso aan bod in een bewerkersovereenkomst op grond van art. 14 Wbp:

  1. de omschrijving van het doel van de bewerking van persoonsgegevens;
  2. datalekken, wat moet een bewerker doen wanneer er een datalek is ontdekt;
  3. beveiliging, welke technische en organisatorische maatregelen neemt de bewerker bij het bewerken van de persoonsgegevens voor de verantwoordelijke;
  4. auditen, hoe de controle van de beveiliging en naleving van de bepalingen in de overeenkomst plaatsvindt;
  5. Afspraken over de inzet van derde partijen (subverwerkers) door de verwerker;
  6. verwerking buiten de EER (internationale verwerking), welke waarborgen zijn er.

AVG: bewerkersovereenkomst wordt verwerkersovereenkomst

Momenteel wordt er onder de Wet bescherming persoonsgegevens nog gesproken van een bewerkersovereenkomst. De AVG (GDPR) gaat daar in Nederland verandering in brengen. In de AVG wordt namelijk gesproken over een “verwerkersovereenkomst”. De verwerkersovereenkomst heeft hetzelfde doel als de bewerkersovereenkomst, namelijk het regelen van de verantwoordelijkheden en zorgen dat het beschermingsniveau bij de verwerking van persoonsgegevens voldoende (“passend”) is.

Verschil tussen de Wbp en de AVG

Ondanks dat een bewerkersovereenkomst hetzelfde doel heeft als een verwerkersovereenkomst, is de AVG uitgebreider in het beschrijven van de vereisten van een verwerkersovereenkomst dan de Wbp.

De AVG benoemt in art. 28 lid 3 meer zaken die in een verwerkersovereenkomst moeten worden geregeld dan voorheen in de Wbp werd verlangd. Voor meer informatie over de inhoud van de verwerkersovereenkomst, klik hier.