Menu      
 
 
What's new?
 

Europese privacywet scherpt overeenkomsten aan:

En, zijn uw bewerkers al verwerkers?

Heeft uw organisatie alle bewerkersovereenkomsten al aangepast in het kader van de nieuwe Europese privacywetgeving de Algemene Verordening Gegevensbescherming (AVG)? Als dit nog niet is gebeurd, dan heeft u nog maar enkele weken de tijd. Op 25 mei moeten alle overeenkomsten die u al heeft afgesloten met partijen die voor u gegevens verwerken, zijn aangepast. Als u niet op tijd klaar bent, riskeert u forse boetes. Is uw organisatie al AVG-proof?

Een beetje verwarrend is het wel. Is het nu bewerker of verwerker? Inhoudelijk wordt er hetzelfde mee bedoeld. Alleen wordt in de Wet bescherming persoonsgegevens de term bewerker gebruikt en wordt in de nieuwe Europese wet gesproken over verwerker. En de laatste is leidend. Maar er speelt meer; want de nieuwe verwerkersovereenkomsten zijn uitgebreid met extra maatregelen. Instructies die onze persoonsgegevens moeten beschermen. Wat in dit digitale tijdperk geen overbodige luxe is. Digitalisering heeft het werken met persoonsgegevens gemakkelijker gemaakt, maar daarmee ook de kans op datalekken vergroot.

Zaak Uber

Insteek van de nieuwe Europese privacywet is voorkomen dat (onze) persoonsgegevens in handen vallen van criminelen. En dat gebeurt vandaag de dag steeds vaker. Misschien herinnert u de zaak Uber nog? In december 2017 kwam aan het licht dat twee hackers in 2016 alle persoonsdata van het wereldwijde taxibedrijf hadden gestolen. Ze hadden de cloudserver van een externe partij van Uber gehackt. In Nederland ging het om de gegevens van ongeveer 174.000 chauffeurs en passagiers. Door het datalek waren hun namen, e-mailadressen en telefoonnummers op straat beland.

Om digitale dataverwerking veiliger te laten verlopen, moet op een andere manier worden gewerkt. De nieuwe wet moet daar een aanzet toe geven. En het is hard nodig. Dat blijkt ook uit recente gegevens van de Autoriteit Persoonsgegevens (AP). Sinds de invoering van de meldplicht begin 2016 worden dagelijks dertig datalekken gemeld. Dan is er nog een grote kans dat dit slechts het topje van de ijsberg is omdat niet alle lekken worden gemeld, bewust of onbewust. Maar het AP heeft ook nog geen boetes uitgedeeld. Dit gaat veranderen door de nieuwe Europese wet.

Aanvullende verwerkerseisen

De nieuwe wet stelt een aantal aanvullende eisen. Zo moet nu expliciet worden opgenomen dat persoonsgegevens uitsluitend worden verwerkt op basis van schriftelijk instructies van de verwerkingsverantwoordelijk. Daarbij moet worden gedacht aan doorgifte van data aan een derde land of extra verwerkingshandelingen. Dat geldt ook voor de regel dat de verwerkende partij geheimhoudingsovereenkomsten sluit met medewerkers, freelancers en andere personen die met de data werken.

De AVG schrijft voor dat organisaties passende maatregelen moeten nemen om de data te beschermen en deze ook opnemen in de overeenkomst. Maar anders dan in de huidige Wet bescherming persoonsgegevens, doet de AVG een aantal suggesties voor maatregelen (zoals het toepassen van pseudonimisering), maar uiteindelijk moet de verantwoordelijke ervoor zorgen dat deze maatregelen zo goed en duidelijk mogelijk in de overeenkomst zijn opgenomen.

Het komt erop neer dat er in principe expliciete toestemming nodig is van de verantwoordelijke als een subverwerker wordt ingeschakeld. Als een SAAS-dienstverlener (een verwerker!) alle data wil verhuizen naar een ander datacenter (een datacenter is meestal een subverwerker), moet voortaan eerst om toestemming worden gevraagd aan de klanten. Alleen als die toestemming schriftelijk is vastgelegd, mag de verhuizing plaatsvinden. Een algemene voorafgaande toestemming is mogelijk, maar daar zitten dan wel weer beperkingen aan.

Schriftelijk vastleggen

Verder moet in de verwerkersovereenkomst worden opgenomen dat de verwerker meewerkt aan de naleving van de vereisten, zoals de meldplicht datalekken, het uitvoeren van een Privacy Impact Assessment (PIA) om te beoordelen welke vervolgstappen moeten worden genomen bij een lek of het uitvoeren van het recht op inzage of dataportabiliteit van de klanten. Maar ook kan een organisatie -als dit van toepassing is - de verwerker ook verplichten om een verwerkingsregister bij te houden of een functionaris gegevensbescherming aan te stellen.

Misschien klinkt het u allemaal bekend in de oren. De meeste eisen in de overeenkomst zijn niet nieuw; de AVG schrijft nu alleen voor dat ze voortaan schriftelijk worden vastgelegd in de overeenkomst. Voor de meeste organisaties houdt dit in dat de bestaande bewerkingsovereenkomsten worden aangepast en uitgebreid. Bij twijfel is het altijd verstandig om een deskundige er naar te laten kijken.  Wacht niet langer en begin vandaag.