Toelichting bij bewerkersovereenkomst (leverancier)
Toelichting bij bewerkersovereenkomst (leverancier)
Voor u ligt de universele bewerkersovereenkomst van de Stichting Contactgroep Automatisering. De Stichting Contactgroep Automatisering acht het belangrijk en noodzakelijk dat het voor gebruikers van automatiseringssystemen duidelijk is aan welke verplichtingen zij dienen te voldoen met betrekking tot het borgen van de privacy van haar klanten. De stichting heeft daarom een universele bewerkersovereenkomst laten opstellen, die u als leverancier aan uw gebruikers kunt overhandigen.
Verplichting om bewerkersovereenkomst te sluiten
Op een bedrijf dat een ander bedrijf inschakelt om gegevens van haar klanten te verwerken, rust de plicht om zorg te dragen voor een bewerkersovereenkomst te sluiten.
Voorbeeld:
Advieskantoor Xxxxxx gaat werken met een online adviestool. In deze adviestool worden door de medewerkers van het advieskantoor klantgegevens ingevoerd. De adviestool slaat die gegevens op in de online omgeving van de leverancier van de adviestool. Omdat de klantgegevens niet bij het advieskantoor worden opgeslagen, maar worden ‘doorgegeven’ aan de leverancier van de adviestool, moet er een bewerkersovereenkomst worden gesloten.
Een bewerkersovereenkomst waarborgt dat op juiste wijze met de klantgegevens van een kantoor worden omgegaan. De verplichting tot het sluiten van een bewerkersovereenkomst, ligt bij het bedrijf waarvan de klantgegevens zijn (het advieskantoor in bovenstaand voorbeeld).
Aandachtspunten
Het is raadzaam om de bewerkersovereenkomst goed door te lezen en eventueel aan te passen aan de situatie die op uw onderneming van toepassing is, alvorens deze aan uw gebruikers te overhandigen. Hieronder worden een aantal aandachtspunten benoemd.
Aanvulling op primaire overeenkomst
De bewerkersovereenkomst is een aanvulling op de primaire overeenkomst die u sluit met de gebruiker. Die primaire overeenkomst kan bijvoorbeeld een licentieovereenkomst of gebruiksovereenkomst zijn. De bewerkersovereenkomst regelt uitsluitend op welke wijze u, als leverancier, omgaat met de klantgegevens (persoonsgegevens) van uw gebruikers. De afspraken die moeten worden vastgelegd in de overeenkomst, zijn wettelijk vastgelegd.
Verzameldoel
In de bewerkersovereenkomst wordt verwezen naar Annex 1. Het is de bedoeling dat de gebruik in dat annex vermeldt met welk doel zij de persoonsgegevens van haar klanten verzamelt. Een verzameldoel kan bijvoorbeeld zijn, dat de persoonsgegevens worden verzameld zodat aan de klanten financieel advies kan worden verleend.
Beveiliging
Bij de bewerkersovereenkomst is in annex 2 omschreven op welke wijze u als leverancier de gegevens van uw klanten beveiligd. Dit annex dient derhalve te worden aangevuld met de beveiligingsmaatregelen die u heeft getroffen.
Sub-bewerkers
In annex 3 staat een overzicht aan van sub-bewerkers die u softwareleverancier kan inschakelen. Niet elke leverancier zal gebruik maken van sub-bewerkers, maar indien u dat wel doet, kunt u in dat annex een overzicht opnemen van de sub-bewerkers.
Met elke sub-bewerker dient een aparte bewerkersovereenkomst te worden gesloten, om te waarborgen dat ook die sub-bewerkers goed omgaan met de klantgegevens.
Geheimhouding
In de bewerkersovereenkomst is vastgelegd dat uw medewerkers gehouden zijn aan geheimhouding en daarvoor een geheimhoudingsverklaring hebben getekend. Deze geheimhoudingsverklaring kan zijn opgenomen in de arbeidsovereenkomst van uw werknemers.
Datalek
Als er sprake is van een datalek bij u als leverancier, zal u binnen 24 uur na het bekend worden met het lek, melding moeten maken bij de gebruiker. Op die manier kan de gebruiker haar (eventueel van toepassing zijnde) wettelijke verplichting nakomen om melding te maken van het datalek.
Doorgifte buiten EU
De bewerkersovereenkomst is opgesteld voor de situatie waarin de gegevens niet worden opgeslagen buiten de EU. Indien u bepaalde gegevens wel buiten de EU wilt opslaan, zult u dat nader moeten overeenkomen met uw gebruikers.
Toezicht
In de overeenkomst is opgenomen dat er voor de gebruiker een mogelijkheid is om een onafhankelijke deskundige een controle te laten uitvoeren, teneinde zeker te stellen dat de afspraken uit de bewerkersovereenkomst worden nagekomen. Dit is een wettelijke verplichting die moet worden opgenomen in de overeenkomst.