Print:

Nieuwe verplichtingen voor bewerkers

Steffie Bom , Tekstschrijver

LinkedIn profiel

“Partijen gaan niet met elkaar in gesprek met het enkele doel om een bewerkersovereenkomst te sluiten. Ze gaan in gesprek omdat ze willen samenwerken, wat soms ook inhoudt dat persoonsgegevens worden uitgewisseld. Dat laatste staat tijdens alle gesprekken nauwelijks centraal, met als gevolg: het commerciële contract wordt gesloten en de bewerkersovereenkomst komt daar nog achteraan”, aldus Kirsten van der Zwan, advocaat bij Davids Advocaten. “De EPV, die nieuwe verplichtingen aan de bewerker toekent – verandert het speelveld. De bewerkersovereenkomst wordt belangrijker. Kirsten van der Zwan, advocaat bij Davids Advocaten, vertelt hier meer over.

Wat gaat veranderen?

“Op dit moment worden de wettelijke verplichtingen – als het gaat om het beschermen van privacy – bij de verantwoordelijke neergelegd. Hierdoor heeft de verantwoordelijke naast de verplichting om een bewerkersovereenkomst af te sluiten, ook het grootste belang om deze af te sluiten. De bewerker kan nu nog redelijk ‘achterover leunen’. Vanaf 25 mei 2018 gaat dit drastisch veranderen. De EPV kent de bewerker namelijk – vanaf het moment dat deze iets met de persoonsgegevens van de verantwoordelijke gaat doen – uiteenlopende verplichtingen en dus aansprakelijkheden toe.

Zo moet de bewerker een overzicht gaan bijhouden van de gegevens die hij verwerkt en ook moet hij – in het geval van een audit – ondersteuning verlenen. Hij moet soms zelf een Privacy Officer aanstellen. Ook mag de bewerker niet meer zonder toestemming andere partijen inschakelen bij de verwerking van persoonsgegevens. Indien de bewerker de verplichtingen overtreedt, kan de bewerker een boete krijgen. Om die reden wordt de bewerkersovereenkomst veel belangrijker. Het wordt voor partijen een serieus mechanisme om aansprakelijkheid vast te leggen, te verdelen of juist uit te sluiten”, aldus Van der Zwan. Tijdens de ‘Dag van de Privacy Officer’ gaat zij hier dieper op in.

Financiële gevolgen

“Goed om te realiseren is in ieder geval dat aan veel van de nieuwe verplichtingen een prijskaartje gaat hangen. Ook voor de bewerker, die ze veelal zal doorberekenen aan de verantwoordelijke. Het maken en bijhouden van een overzicht van alle data brengt tenslotte kosten met zich mee voor de bewerker. Hetzelfde geldt voor het ondersteunen van de verantwoordelijke, in het geval van een audit of een datalek. Wie gaat hiervoor wat betalen en wanneer? Zaken waar van tevoren goed over nagedacht moet worden.”

Onderzoeksplicht

Nieuw in de EPV is de onderzoeksplicht voor de verantwoordelijke, voordat deze zaken gaat doen met een bewerker. “In de EPV staat dat de verantwoordelijke alleen een beroep mag doen op een verwerker, die afdoende garanties met betrekking tot technische en organisatorische maatregelen biedt. Het is de vraag hoe je dat in gaat vullen. Ik heb daar wel mijn ideeën over, bijvoorbeeld door als verantwoordelijke een nulmeting uit te voeren. Je kunt dan van tevoren de bewerker nog sturen of alsnog kiezen voor een ander. De uitslag kun je als bijlage aan de bewerkersovereenkomst toevoegen, en ieder jaar bespreken. Dan kan je direct beoordelen of de beveilingsmaatregelen nog voldoen aan de stand van de techniek en proportioneel zijn. De overeenkomst en werkwijze kan dan worden aangepast”, aldus Van der Zwan.

Ze is zelf ook grote voorstander van het jaarlijkse doorspreken van een samenwerking tussen partijen, inclusief de overeenkomsten en dus ook de bewerkersovereenkomst. “In de praktijk verdwijnen, na ondertekening, overeenkomsten vaak in een la en komen pas tevoorschijn bij problemen. Als dan de overeenkomst zelf niet meer actueel is, heeft een van de partijen een nog groter probleem. Ik verwacht overigens dat de onderzoeksplicht nog een andere discussie teweeg gaat brengen. Wat als de bewerker faalt? Ligt dit dan aan de bewerker zelf of heeft de verantwoordelijke zijn onderzoeksplicht niet goed uitgevoerd?”

Nog meer issues

“Los van de EPV spelen er momenteel nog andere issues rondom de bewerkersovereenkomst”, gaat Van der Zwan verder. “Ik krijg veel vragen voorgelegd wie in een bepaalde situatie de bewerker en de verantwoordelijk is. Wat als bijvoorbeeld een webhoster een soort van bewakingsfunctie krijgt en gaat controleren of gegevens nog juist zijn. Maakt dat deze partij tot een verantwoordelijke? Deze kwalificatievraag, ben ik bewerker of verantwoordelijke, is bepalend voor je positie in de bewerkersovereenkomst.”

Volgens Van der Zwan speelt dit ook bij grote organisaties (multinationals) met een moeder- en één of meer dochtermaatschappijen. “Als tussen deze maatschappijen over en weer gegevens worden uitgewisseld, dan wordt de een gezien als de verantwoordelijke en de ander als de bewerker. Veel organisaties staan hier niet bij stil, terwijl het contractueel en in statuten goed te regelen is (wat veel problemen kan voorkomen).”

Als laatste benadrukt ze dat de modelcontracten van de Europese Commissie ‘for the transfer of personal data to third countries’ niet hetzelfde zijn als een bewerkersovereenkomst. “Deze modellen regelen slechts dat gegevens naar een land buiten Europa dat geen passend beschermingsniveau heeft, mogen worden gestuurd. Deze modellen bevatten niet alle huidige verplichte onderdelen van een bewerkersovereenkomst en regelen niet de specifieke verdeling van aansprakelijkheid”.

Tijdens het congres ‘Dag van de Privacy Officer’ op donderdag 10 november 2016 gaat Van der Zwan dieper in op bovengenoemde issues. Zij neemt de in de EPV opgenomen verplichtingen voor de bewerker onder de loep en legt uit hoe om te gaan met de uitdagingen in de praktijk.