Bewerkersovereenkomst Wbp

Als een verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp) de verwerking van persoonsgegeven wil uitbesteden aan een derde, dan zijn zij verplicht om een bewerkersovereenkomst te sluiten. Deze overeenkomst wordt in de praktijk vaak vergeten. De verantwoordelijke is en blijft eindverantwoordelijk voor de verwerking van de gegevens. Als er dus iets fout gaat bij de derde partij, dan is het noodzakelijk dat hierover goede afspraken zijn gemaakt in de bewerkersovereenkomst.

Wat wordt er geregeld in de bewerkersovereenkomst?

In de overeenkomst leggen de verantwoordelijke en de verwerker onder meer de volgende onderwerpen vast:

  • Welke beveiligingsmaatregelen een verwerker moet treffen om de persoonsgegevens te beveiligen;
  • Dat de verwerker alleen op instructie van de verantwoordelijke de gegevens mag verwerken. Hij mag dus niet zomaar handelingen verrichten met de gegevens;
  • De geheimhouding waartoe de verwerker gehouden is. De verantwoordelijke wil immers niet dat de gegevens bij anderen terecht komen;
  • Waar de data wordt verwerkt door de verwerker. Dit is van belang omdat verwerking buiten de Europa in de meeste gevallen heel onverstandig is.;
  • Hoe om wordt gegaan met een datalek.