1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK
Vrije Universiteit Amsterdam Verantwoordelijke en bewerker Nut en noodzaak Wat moet u regelen: eisen bewerkersovereenkomst Een datalek, wat nu? 2 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak AGENDA
Vrije Universiteit Amsterdam Rolverdeling: bewerker of (toch) verantwoordelijke? “Verantwoordelijke” (art. 1 lid 1 onder d Wbp) > Stelt doel en middelen van de gegevensverwerking vast > Is verantwoordelijk voor de gegevensverwerking, ook als die plaatsvindt bij de bewerker > Normadressaat: meeste Wbp verplichtingen richten zich tot de verantwoordelijke “Bewerker” (art. 1 lid 1 onder e Wbp) > Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke > Staat buiten de organisatie van de verantwoordelijke > Geen hiërarchische relatie met verantwoordelijke > De dienstverlening betreft de verwerking van persoonsgegevens 3 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak VERANTWOORDELIJKE EN BEWERKER
Vrije Universiteit Amsterdam Rolverdeling: bewerker of (toch) verantwoordelijke? Het zijn van bewerker beperkt een partij in wat zij met de gegevens mag doen De bewerker mag niet zelf de doeleinden voor de gegevensverwerking bepalen De bewerker mag alleen in opdracht van de verantwoordelijke verwerken De verantwoordelijke bepaalt en geeft instructies > Tweede opsomming 4 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak VERANTWOORDELIJKE EN BEWERKER
Vrije Universiteit Amsterdam Hoe bepaalt u wie de verantwoordelijke is? Allereerst is bepalend wie doeleinden en middelen van de gegevensverwerking vaststelt: belangrijke indicatie voor verantwoordelijke Is er een welbepaald, uitdrukkelijk omschreven, gerechtvaardigd doel? (art. 7 Wbp) 5 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak VERANTWOORDELIJKE OF BEWERKER
Vrije Universiteit Amsterdam Hoe bepaalt u wie de verantwoordelijke is? Geen keus al naar gelang “het beste schikt” Een bewerkersovereenkomst afsluiten is niet voldoende om de rollen te verdelen Afspraken op schrift moeten overeenkomen met feitelijke situatie 6 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak VERANTWOORDELIJKE OF BEWERKER
Vrije Universiteit Amsterdam Opinie WP 29 Verantwoordelijke/Bewerker (WP169, 2010) Voor feitelijke omstandigheden kijken naar: De mate van vooraf gegeven instructies door de verantwoordelijke Monitoring van de dienstverlening door de verantwoordelijke Hoe partijen zich naar buiten presenteren en wat redelijke verwachtingen zijn 7 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak VERANTWOORDELIJKE OF BEWERKER
Vrije Universiteit Amsterdam En zo ging het mis…. 8 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak NUT EN NOODZAAK
Vrije Universiteit Amsterdam Wat moet u regelen in de bewerkersovereenkomst? Verhouding verantwoordelijke en bewerker (art. 49 lid 3 Wbp) Beveiliging door de bewerker (art. 14 lid 1 Wbp) > Zorg NEN 7510 Juridisch bindende afspraken (art. 14 lid 2 Wbp) Geheimhoudings- en beveiligingsplicht (art. 14 lid 3 Wbp) Bewerker in andere EU-lidstaat (art. 14 lid 4 Wbp) Bewijs (art. 14 lid 5 Wbp) Datalekken (art. 14 lid 5 Wbp) 9 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak EISEN BEWERKERSOVEREENKOMST
Vrije Universiteit Amsterdam 10 Bestuurszaken/ De bewerkersovereenkomst, nut en noodzaak DATALEK, WAT NU?
11Het begint met een idee VRAGEN? 11