Veel organisaties maken gebruik van andere dienstverleners voor het verwerken van persoonsgegevens. Zo kan een externe partij worden ingehuurd om bijvoorbeeld de salarisadministratie van de organisatie te regelen. Uiteraard moet deze externe partij in dat geval bepaalde persoonsgegevens verwerken, zoals NAW-gegevens, bankrekeningnummers en andere financiële informatie. Zo’n externe partij wordt ook wel een bewerker genoemd. Met deze externe partij moet een zogenaamde bewerkersovereenkomst gesloten worden om ervoor te zorgen dat persoonsgegevens op een juiste manier verwerkt worden. Onder de Algemene Verordening Gegevensbescherming of privacyverordening worden de eisen die aan bewerkers en deze overeenkomst gesteld worden zwaarder.
Kort gezegd is een bewerker een partij die persoonsgegevens verwerkt namens de verantwoordelijke van deze verwerking.
De verantwoordelijke mag alleen van een dienst van een bewerker gebruikmaken als de bewerker voldoende garanties biedt dat de verwerking wordt uitgevoerd volgens de regels van de privacyverordening. De bewerker moet volgens de wet o.a. “passende technische en organisatorische maatregelen” bieden om aan deze vereisten te voldoen. (Lees hier meer over de verantwoordelijke)
Zoals gezegd is een bewerker verplicht om bepaalde afspraken na te komen. De organisatie die als verantwoordelijke aangemerkt kan worden moet erop toezien dat deze afspraken ook daadwerkelijk worden nageleefd. Hoe moet je dit aanpakken als organisatie? Start met onderstaande drie stappen.
Stap 1: het vaststellen van de leveranciers (derde partijen) waar de organisatie gebruik van maakt
Stap 2: vaststellen of bij het leveren van betreffende diensten of producten aan de organisatie persoonsgegevens worden uitgewisseld met deze leveranciers.
Stap 3: bepalen of de betreffende leverancier/derde partij als bewerker aangemerkt kan worden.
De betreffende derde partij moet onder de privacyverordening voldoen aan de bepaalde eisen. Hieronder zet ik de eisen voor je op een rijtje.
De derde partij…
Als niet aan alle eisen wordt voldaan is er mogelijk geen sprake van een bewerker. Het kan dan zijn dat de derde partij zelf verantwoordelijk is voor de verwerking van de persoonsgegevens. Als er wel sprake is van een bewerker is het verplicht om een bewerkersovereenkomst af te sluiten.
Volgens de privacyverordening mogen persoonsgegevens alleen door een bewerker verwerkt worden op basis van schriftelijke instructies van de verantwoordelijke. Deze schriftelijke instructies mogen ontbreken als persoonsgegevens verwerkt worden op basis van een wettelijke verplichting. In dat geval moet de bewerker wel aan de verantwoordelijke doorgeven dat de verwerking op deze basis plaatsvindt.
In de verordening worden een aantal eisen gesteld aan de bewerkersovereenkomst. Inhoudelijk moet de bewerkersovereenkomst in ieder geval het volgende bevatten:
Een nieuwe verplichting onder de privacyverordening is de verplichting van de bewerker om een register bij te houden van verwerkingen die hij of zij doet in het kader van het bewerkerschap.
Dit register moet de volgende informatie bevatten:
De eisen die onder de privacyverordening aan bewerkers worden opgelegd worden dus zwaarder. Niet alleen worden er meer eisen gesteld aan de inhoud van de bewerkersovereenkomst, ook moet de bewerker vanaf het moment dat de verordening van toepassing is een register bijhouden dat weergeeft welke verwerkingen voor wie worden uitgevoerd.