Wat moet in een verwerkersovereenkomst worden opgenomen?

Organisaties die het beheer en de bewerking van hun persoonsgegevens uitbesteden aan een derde partij, blijven toch te allen tijde zelf verantwoordelijk. Dus ontstaat er bijvoorbeeld een datalek bij de bewerker, dan wordt toch de organisatie die de persoonsgegevens heeft uitbesteed daarop aangesproken. Via een goede verwerkersovereenkomst kan ervoor gezorgd worden dat de verwerker niet zelf beslissingen neemt over de informatie die hij in beheer heeft gekregen. De verwerkersovereenkomst moet afzonderlijk afgesloten worden, deze staat los van de normale dienstverlenersovereenkomst. Organisaties kunnen bijvoorbeeld de personeelsadministratie uitbesteden en hiervoor een contract afsluiten. De verwerkersovereenkomst wordt dan apart afgesloten om de uitbestede persoonsgegevens te beschermen.
In een verwerkersovereenkomst moeten de volgende onderwerpen worden opgenomen.
  1. De eis dat de bewerker passende maatregelen neemt om de gegevens te beschermen tegen diefstal en verlies;
  2. Een bepaling dat de bewerker alleen met de persoonsgegevens mag doen wat hem is opgedragen door de uitbestedende partij. Hij mag de gegevens nooit voor eigen doelen gebruiken;
  3. Het land waar de persoonsgegevens zullen worden opgeslagen;   
  4. Een bepaling die de bewerker het recht geeft een derde partij in te schakelen, of dat juist verhindert;
  5. Het recht om te komen controleren of de in het contract afgesproken maatregelen worden nageleefd;
  6. Weliswaar blijft de organisatie zelf verantwoordelijk voor de persoonsgegevens, maar als de bewerker een fout maakt waardoor er bijvoorbeeld een datalek ontstaat, kan wel contractueel afgesproken worden dat daar sancties op staan. Leg die verantwoordelijkheid en de bijbehorende sancties dus ook vast.
Word pro

Pro-abonnees downloaden gratis het Ebook met 75 vragen en antwoorden over Digitale beveiliging.