Softwarepakketten.nl

Bijdrage van Bloggers (blogs)

Bewerkersovereenkomst: een verplichting bij verwerken persoonsgegevens in de cloud

Plaatsingsdatum 25-12-2014
Berichtdatum Najaar 2014

De IT-Jurist

In artikel 14 lid 2 van de Wet bescherming persoonsgegevens is bepaald dat de uitvoeringen van de verwerkingen door een bewerker moeten worden geregeld in een overeenkomst of een andere rechtshandeling. Deze “bewerkersovereenkomst” is dus een verplichting voor de afnemers van clouddiensten, die persoonsgegevens laten verwerken door hun hosting-, SaaS- of DaaS-provider.

Wat moet er allemaal in een bewerkersovereenkomst geregeld worden? Het College Berscherming Persoonsgegevens (CBP) heeft in richtsnoeren een voorzet gegeven. De bewerkersovereenkomst moet allereerst beschrijven welke diensten de bewerker verleent met betrekking tot de persoonsgegevens en wat de omvang is van zijn gebruik van de persoonsgegevens.

Het volgende onderwerp waarover afspraken moet worden gemaakt, betreft de beveiliging van de persoonsgegevens. De afspraken mogen niet algemeen zijn zoals:  “de bewerker zorgt voor een passende en adequate beveiliging van de persoonsgegevens”. De afspraken moeten gedetailleerder worden uitgewerkt. Een voorbeeld: “de bewerker zal digitale persoonsgegevens uitsluitend transporteren via een met SSL-techniek versleutelde verbinding”. De afnemer van de clouddiensten (in de wet de verantwoordelijke genoemd), moet bepalen welke maatregelen nodig zijn om te voldoen aan de wettelijke beveiligingsplicht (artikel 13 Wbp), niet de bewerker. Hij dient dus verstand te hebben van beveiliging, of daarover advies in te winnen.

De bewerker en de verantwoordelijke moeten ook afspraken maken over de rapportage over de beveiliging. De inhoud en de frequentie van de rapportage moeten bijvoorbeeld worden vastgelegd. Ook moet de verantwoordelijke het recht hebben om de beveiliging door een deskundige te laten inspecteren. Verder moet worden geregeld hoe er wordt gerapporteerd aan de verantwoordelijke en de betrokkenen (de personen op wie de persoonsgegevens zien)als er zich een beveiligingsincident heeft voorgedaan.

Het CBP eist dat in de bewerkersovereenkomst wordt gedifferentieerd, als niet alle persoonsgegevens even gevoelig zijn. Vastgelegd moet dus worden welke afspraken voor welke persoonsgegevens gelden. Ten slotte moeten worden overeengekomen welke handelingen door sub-bewerkers mogen worden verricht en onder welke voorwaarden persoonsgegevens in het buitenland mogen worden verwerkt.

Voor zowel verantwoordelijke (cloudafnemer) als de bewerker (cloudprovider) is een bewerkersovereenkomst dus noodzaak. Niet in de laatste plaats om te komen tot een verdeling van de aansprakelijkheid voor de schade die onverhoopt ontstaat bij de verwerking van de persoonsgegevens.

Categorie(n) Branche > Juridisch, Soort > Abonnementen- en Ledenadministratie, Branche > Accountantskantoren, ICT & Recht, Soort > Belastingen, Juridisch en Subsidie, Branche > Financials, SAAS, Cloud Computing, Branche > ICT bedrijven, Soort > Loon-, salaris- en HRM software, Assuring (incl. certificeren en compliance)
Bronvermelding De IT-Jurist
Internet URL http://www.it-jurist.nl

Terug

Gerelateerde berichten

Wie kan volgens de AVG als functionaris gegevensbescherming aangewezen worden? [21-08-2017]

Blockchain: uitleg over smart contracts [19-07-2017]

Mag een softwareleverancier testen met productie-data, in relatie tot de Wet Bescherming Persoonsgegevens [26-06-2017]

De Europese Privacyverordening, de General Data Protection Regulation - GDPR, komt eraan [04-10-2016]

Is een werkgever aansprakelijk, indien een werknemer illegale software kopieert? [01-10-2016]


13 december 2017
Seminar: elektronisch factureren in de praktijk
Aan de orde komt: overview elektronisch factureren, Europese standaard EN 16931, SCOBDO.eu: automatische conversie, elektronisch factureren en de originele factuur, elektronisch factureren en de overheid, elektronisch factureren internationaal met o.a. VAT compliance verplichtingen, PEPPOL netwerk, elektronisch factureren in de praktijk, robotic accounting en machine learning en elektronisch factureren en factuurscenario's.
Meer info en aanmelden...


CreAim

Informer software

KING

Timewriter

MUIS Software


Onerzoeksbureau GBNED