Wat verandert er onder de privacyverordening voor de bewerkers van een organisatie en hoe ga je om met deze veranderingen?
Veel organisaties maken gebruik van andere dienstverleners voor het verwerken van persoonsgegevens. Zo kan een externe partij worden ingehuurd om bijvoorbeeld de salarisadministratie van de organisatie te regelen. Uiteraard moet deze externe partij in dat geval bepaalde persoonsgegevens verwerken, zoals NAW-gegevens, bankrekeningnummers en andere financiële informatie. Zo’n externe partij wordt ook wel een bewerker genoemd. Met deze externe partij moet een zogenaamde bewerkersovereenkomst gesloten worden om ervoor te zorgen dat persoonsgegevens op een juiste manier verwerkt worden. Onder de Algemene Verordening Gegevensbescherming of privacyverordening worden de eisen die aan bewerkers en deze overeenkomst gesteld worden zwaarder.
Wat en wie is een bewerker?
Kort gezegd is een bewerker een partij die persoonsgegevens verwerkt namens de verantwoordelijke van deze verwerking.
De verantwoordelijke mag alleen van een dienst van een bewerker gebruikmaken als de bewerker voldoende garanties biedt dat de verwerking wordt uitgevoerd volgens de regels van de privacyverordening. De bewerker moet volgens de wet o.a. “passende technische en organisatorische maatregelen” bieden om aan deze vereisten te voldoen. (Lees hier meer over de verantwoordelijke)
Wat betekent dit voor een organisatie?
Zoals gezegd is een bewerker verplicht om bepaalde afspraken na te komen. De organisatie die als verantwoordelijke aangemerkt kan worden moet erop toezien dat deze afspraken ook daadwerkelijk worden nageleefd. Hoe moet je dit aanpakken als organisatie? Start met onderstaande drie stappen.
Stap 1: het vaststellen van de leveranciers (derde partijen) waar de organisatie gebruik van maakt
Stap 2: vaststellen of bij het leveren van betreffende diensten of producten aan de organisatie persoonsgegevens worden uitgewisseld met deze leveranciers.
Stap 3: bepalen of de betreffende leverancier/derde partij als bewerker aangemerkt kan worden.
Hoe bepaal je of een derde partij als bewerker aangemerkt kan worden?
De betreffende derde partij moet onder de privacyverordening voldoen aan de bepaalde eisen. Hieronder zet ik de eisen voor je op een rijtje.
De derde partij…
- mag hiërarchisch niet ondergeschikt zijn aan de verantwoordelijke of niet onderworpen zijn aan zijn of haar gezag;
- mag geen eigen doelen hebben voor het verwerken van persoonsgegevens. Als een bewerker wel eigen doeleinden stelt dan is hij zelf verantwoordelijke voor die verwerking;
- mag slechts de nadere uitwerking van de gebruikte middelen bepalen (bijvoorbeeld welke soort server er wordt gebruikt) gebaseerd op de specialistische kennis van de bewerker;
- moet zich houden aan de afspraken uit de bewerkersovereenkomst. Als dit niet het geval is kan hij mogelijk zelf aangemerkt worden als verantwoordelijke voor de verwerking.
Als niet aan alle eisen wordt voldaan is er mogelijk geen sprake van een bewerker. Het kan dan zijn dat de derde partij zelf verantwoordelijk is voor de verwerking van de persoonsgegevens. Als er wel sprake is van een bewerker is het verplicht om een bewerkersovereenkomst af te sluiten.
Eisen aan een bewerkersovereenkomst
Volgens de privacyverordening mogen persoonsgegevens alleen door een bewerker verwerkt worden op basis van schriftelijke instructies van de verantwoordelijke. Deze schriftelijke instructies mogen ontbreken als persoonsgegevens verwerkt worden op basis van een wettelijke verplichting. In dat geval moet de bewerker wel aan de verantwoordelijke doorgeven dat de verwerking op deze basis plaatsvindt.
In de verordening worden een aantal eisen gesteld aan de bewerkersovereenkomst. Inhoudelijk moet de bewerkersovereenkomst in ieder geval het volgende bevatten:
- De bewerker is verplicht om de doorgegeven persoonsgegevens vertrouwelijk te behandelen. Dit kan door een vertrouwelijksheidsclausule op te nemen of omdat de bewerker op grond van een wettelijke verplichting tot vertrouwelijkheid is gebonden;
- De bewerker is verplicht om informatie ter beschikking te stellen aan de verantwoordelijke en mee te werken aan audits;
- Er moeten afspraken worden opgenomen over:
- de beveiligingsmaatregelen die de bewerker moet treffen;
- het inhuren van sub-bewerkers en onder welke voorwaarden dit wel of niet mag;
- het afhandelen van inzageverzoeken, rectificatieverzoeken en de overige rechten van betrokkenen (dit wordt behandeld in de blogpost van volgende week);
- het melden van datalekken en het uitvoeren van privacy impact assessments;
- het verwijderen of teruggeven van persoonsgegevens na afloop van de bewerkersovereenkomst.
Het bijhouden van een register
Een nieuwe verplichting onder de privacyverordening is de verplichting van de bewerker om een register bij te houden van verwerkingen die hij of zij doet in het kader van het bewerkerschap.
Dit register moet de volgende informatie bevatten:
- Naam en de contactgegevens van de bewerker (en eventueel vertegenwoordigers en de functionaris voor de gegevensbescherming);
- Categorieën van verwerkingen die namens een verantwoordelijke wordt uitgevoerd;
- Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
- Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die genomen zijn.
De eisen die onder de privacyverordening aan bewerkers worden opgelegd worden dus zwaarder. Niet alleen worden er meer eisen gesteld aan de inhoud van de bewerkersovereenkomst, ook moet de bewerker vanaf het moment dat de verordening van toepassing is een register bijhouden dat weergeeft welke verwerkingen voor wie worden uitgevoerd.