Bewerkersovereenkomst

Bekijk voorbeeld Download als PDF

Let op! Dit is de Nederlandse variant. Klik hier voor de Engelse variant.

Waarom een bewerkersovereenkomst?

Wanneer een partij het verwerken van persoonsgegevens bij een andere partij wil uitbesteden, is het wettelijk verplicht om hierover een bewerkersovereenkomst (of verwerkersovereenkomst) te sluiten. Met deze overeenkomst leggen partijen vast voor welke doeleinden de gegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen en welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen.

Formeel moet de bewerkersovereenkomst als apart document (bijvoorbeeld een bijlage bij een mantelcontract of inkoopcontract) worden opgezet, maar in de praktijk wordt ook vaak volstaan met een artikel in een andere overeenkomst waarin bewerkersbepalingen zijn opgenomen.

Voorbeeldsituatie

U heeft een webwinkel en bewaart alle klantgegevens op via een clouddienst van een hostingbedrijf. In dit geval besteedt u de gegevensverwerking uit aan dit hostingbedrijf, welke in dit geval de verwerker is. U bent in dit geval de verantwoordelijke voor de verwerking: u bepaalt voor welke doeleinden deze gegevens verzameld en gebruikt worden. Met het hostingbedrijf legt u de afspraken voor de verwerkingen vast in de bewerkersovereenkomst.

Wat regelt deze bewerkersovereenkomst?

In een bewerkersovereenkomst wordt geborgd welke plichten die ander heeft, welke verwerkingen mogen worden uitgevoerd en hoe de verantwoordelijke (de uitbestedende partij) daar toezicht op houdt.

Een bewerkersovereenkomst is een juridisch instrument met daarin op zijn minst:

  • Doeleinden van verwerking
  • Verplichtingen van de bewerker
  • Doorgifte van persoonsgegevens naar derde landen
  • Garanties van beide partijen over correct naleven van de wet
  • Beveiliging van de persoonsgegevens door de verwerker
  • Een interne datalekmeldplicht naar de verantwoordelijke
  • Omgaan met verzoeken van betrokkenen
  • Eigendom van de persoonsgegevens
  • Vrijwaringen over claims van betrokkenen en derden (zoals toezichthouders)
  • Geheimhouding bij persoonsgegevens
  • Duur, verlenging en opzegging
  • Wijzigen van de bewerkersovereenkomst