Velden zijn niet correct ingevuld

De bewerkersovereenkomst: Vijf tips

Het is alweer een half jaar geleden dat de nieuwe wet Meldplicht Datalekken van kracht is geworden. Sinds die wet zijn er inmiddels zo’n tweeduizend meldingen van datalekken gedaan bij de Autoriteit Persoonsgegevens. Sommige onschuldig, sommige best ernstig, zoals het datalek bij de gemeente Amersfoort. Eerder schreven we al over de gevolgen van de wet meldplicht datalekken, namelijk dat u als ondernemer te maken kunt krijgen met een ‘bewerkersovereenkomst’ waarin afspraken met de bewerker staan over wat er met uw data gebeurt en wat u moet doen bij een datalek.

Wat moet in de bewerkersovereenkomst worden opgenomen?

Hieronder leest u meer over de bewerkersovereenkomst. We geven u vijf tips over zaken die absoluut niet mogen ontbreken in een bewerkersovereenkomst.

Tip 1: Spreek af waar de data wordt opgeslagen

Uw gegevens zijn geheim en concurrentiegevoelig. De gegevens staan ‘in de cloud’, wat niet meer wil zeggen dan dat ze ergens buiten uw bedrijf op een server staan. Maar waar staat die server? In Nederland? In de VS? Of in China? Als uw data in het buitenland opgeslagen wordt, bent u er niet altijd zeker van dat ze veilig zijn. In de VS bijvoorbeeld kan de overheid veel makkelijker bij de gegevens dan in Nederland. Spreek daarom uitdrukkelijk met uw bewerker af waar uw data worden opgeslagen. 

Tip 2: Stel regels op omtrent het beveiligingsniveau

Het is belangrijk om te voorkomen dat uw data op straat komen te liggen. Een datalek kan grote schade tot gevolg hebben, zeker als het gaat om vertrouwelijke gegevens zoals bij een accountantskantoor of een medisch bedrijf. Daarom moet data goed beveiligd worden. Die beveiliging is er in soorten en maten en prijzen. Maak daarover goede afspraken.

Tip 3: Zorg voor een meldplicht bij datalekken inclusief een termijn

Als verantwoordelijke voor persoonsgegevens, bent u als ondernemer verplicht melding te doen bij de Autoriteit Persoonsgegevens, binnen 72 uur na ontdekking van het lek. Degene die het lek ontdekt, is meestal de bewerker, dus uw (IT)leverancier. Het is dus belangrijk dat deze ook verplicht wordt de ontdekking van het lek aan u te melden, liefst zo snel mogelijk, als het kan binnen enkele uren.

Tip 4: Regel wie aansprakelijk is voor overtreding van de Wet bescherming persoonsgegevens

Op een datalek staan boetes. Ook kan er schade optreden bij een datalek. Het is verstandig af te spreken wie voor boetes en schade aansprakelijk is. Als het datalek is te wijten aan een fout of onzorgvuldigheid van de bewerker, zal deze ook moeten opdraaien voor de schade.

Tip 5: Maak afspraken over een exitregeling

Als aan de bewerkersovereenkomst een einde komt, bijvoorbeeld omdat u een nieuwe ICT partner heeft gevonden, wat gebeurt er dan met uw data? Door in de bewerkersovereenkomst een regeling op te nemen over teruggave van de data, voorkomt u onduidelijkheid en dat uw gegevens ergens op een server onbeheerd blijven hangen.

De bewerkersovereenkomst is een belangrijke overeenkomst tussen ondernemers en hun ICT partners. Bedrijfsinformatie en persoonsgegevens moeten geheim blijven. In die overeenkomst moeten goede bepalingen staan. Met deze tips bent u in elk geval voorzien van een aantal belangrijke clausules. Wilt u meer weten over de bewerkersovereenkomst? Neem dan contact op met een van onze gespecialiseerde advocaten.



Naar blogverzicht