Bewerkersovereenkomst: een verplichting bij verwerken persoonsgegevens in de cloud

In artikel 14 lid 2 van de Wet bescherming persoonsgegevens is bepaald dat de uitvoeringen van de verwerkingen door een bewerker moeten worden geregeld in een overeenkomst of een andere rechtshandeling. Deze “bewerkersovereenkomst” is dus een verplichting voor de afnemers van clouddiensten, die persoonsgegevens laten verwerken door hun hosting-, SaaS- of DaaS-provider.

Wat moet er allemaal in een bewerkersovereenkomst geregeld worden? Het College Berscherming Persoonsgegevens (CBP) heeft in richtsnoeren een voorzet gegeven. De bewerkersovereenkomst moet allereerst beschrijven welke diensten de bewerker verleent met betrekking tot de persoonsgegevens en wat de omvang is van zijn gebruik van de persoonsgegevens.

Het volgende onderwerp waarover afspraken moet worden gemaakt, betreft de beveiliging van de persoonsgegevens. De afspraken mogen niet algemeen zijn zoals:  “de bewerker zorgt voor een passende en adequate beveiliging van de persoonsgegevens”. De afspraken moeten gedetailleerder worden uitgewerkt. Een voorbeeld: “de bewerker zal digitale persoonsgegevens uitsluitend transporteren via een met SSL-techniek versleutelde verbinding”. De afnemer van de clouddiensten (in de wet de verantwoordelijke genoemd), moet bepalen welke maatregelen nodig zijn om te voldoen aan de wettelijke beveiligingsplicht (artikel 13 Wbp), niet de bewerker. Hij dient dus verstand te hebben van beveiliging, of daarover advies in te winnen.

De bewerker en de verantwoordelijke moeten ook afspraken maken over de rapportage over de beveiliging. De inhoud en de frequentie van de rapportage moeten bijvoorbeeld worden vastgelegd. Ook moet de verantwoordelijke het recht hebben om de beveiliging door een deskundige te laten inspecteren. Verder moet worden geregeld hoe er wordt gerapporteerd aan de verantwoordelijke en de betrokkenen (de personen op wie de persoonsgegevens zien)als er zich een beveiligingsincident heeft voorgedaan.

Het CBP eist dat in de bewerkersovereenkomst wordt gedifferentieerd, als niet alle persoonsgegevens even gevoelig zijn. Vastgelegd moet dus worden welke afspraken voor welke persoonsgegevens gelden. Ten slotte moeten worden overeengekomen welke handelingen door sub-bewerkers mogen worden verricht en onder welke voorwaarden persoonsgegevens in het buitenland mogen worden verwerkt.

Voor zowel verantwoordelijke (cloudafnemer) als de bewerker (cloudprovider) is een bewerkersovereenkomst dus noodzaak. Niet in de laatste plaats om te komen tot een verdeling van de aansprakelijkheid voor de schade die onverhoopt ontstaat bij de verwerking van de persoonsgegevens.

(bron: www.it-jurist.nl/)