Wat is een bewerkersovereenkomst en welke noodzakelijke afspraken dient u te maken met externe partijen?

Veel organisaties maken gebruik van externe partijen voor IT dienstverlening, waaronder externe dataopslag. Denk hierbij aan Cloud toepassingen van grote leveranciers zoals Microsoft Office365, Unit4 of Salesforce CRM. De kans is groot dat u persoonsgegevens in deze Cloud omgevingen plaatst. De wet- en regelgeving verplicht u afspraken te maken met deze externe databewerkers. Wanneer u deze afspraken niet maakt, kan de Autoriteit Persoonsgegevens u een aanwijzing of boete opleggen.

In dit artikel leggen we u uit wat u kunt doen wanneer u data in de Cloud plaatst of op een andere manier gebruik maakt van externe IT leveranciers. Bijvoorbeeld welke afspraken u kunt maken met uw Cloudprovider en welke risicoanalyses u zou kunnen uitvoeren om compliant te zijn. De Wet bescherming persoonsgegevens en de Beleidsregels geven een aantal concrete stappen:

  • Het in kaart brengen van de verwerkingen door een bewerker.

  • Op de hoogte zijn van gangbare kwetsbaarheden.

  • Op de hoogte zijn van verwerkingen die buiten Nederland plaatsvinden.

  • Heldere en concrete afspraken maken met de gegevensverwerker.

  • Toezicht houden op naleving van deze afspraken.

  • De verwerking en de afspraken evalueren en waar nodig aanpassing te verlangen.

In de beleidsregels van de Autoriteit Persoonsgegevens wordt dit als volgt omschreven:

De verantwoordelijke voert een risicoanalyse uit betreffende de verwerking door een bewerker

In de risicoanalyse stelt de verantwoordelijke vast of en zo ja, onder welke voorwaarden, de bewerker “voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen” en de verantwoordelijke voldoende in staat is om “toe te zien op de naleving van die maatregelen.” Verder stelt hij vast of en zo ja, onder welke voorwaarden, er voldoende waarborgen zijn dat de bewerker “de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.”

In de risicoanalyse betrekt de verantwoordelijke in ieder geval de gangbaarste dreigingen en kwetsbaarheden die samenhangen met verwerking door een bewerker en de mogelijke gevolgen voor de betrokkenen. Welke dreigingen en kwetsbaarheden in een specifieke situatie daadwerkelijk aanwezig zijn, hangt onder meer af van de aard van de dienstverlening. Het vervolg van deze paragraaf geeft de gangbaarste dreigingen en kwetsbaarheden weer die samenhangen met de verwerking van persoonsgegevens door een bewerker.

De verantwoordelijke onderkent algemeen bekende kwetsbaarheden

Onvoldoende beveiliging van de verwerkte persoonsgegevens

Verwerking door een bewerker betekent dat de verantwoordelijke, behalve de bewerking zelf, ook de beveiliging van de verwerkte persoonsgegevens uit handen geeft. Als de verantwoordelijke bijvoorbeeld gebruikmaakt van de diensten van een hostingprovider, dan zal deze ook een groot deel van de beveiliging van de betreffende website voor zijn rekening nemen. Daarbij gaat het onder meer om maatregelen zoals logging en controle (het vastleggen van belangrijke gebeurtenissen en het controleren op tekenen van onrechtmatige toegang tot de verwerkte gegevens) en het up-to-date houden van de systeemprogrammatuur op de webserver. Dit zijn beveiligingsmaatregelen die de verantwoordelijke niet zelf kan treffen, omdat hij slechts in beperkte mate toegang heeft tot de webserver en in veel gevallen ook de benodigde expertise mist. Als de bewerker hierin tekortschiet, kan dat leiden tot verlies of onrechtmatige verwerking van de verwerkte persoonsgegevens.

Onvoldoende beveiliging van de dienstverlening door de bewerker

De bewerker biedt in veel gevallen faciliteiten waarmee de verantwoordelijke de persoonsgegevens kan uploaden die door de bewerker moeten worden bewerkt of waarmee de verantwoordelijke de verwerkte persoonsgegevens kan raadplegen of aanpassen. Onvoldoende beveiliging van deze faciliteiten kan leiden tot verlies of onrechtmatige verwerking van de persoonsgegevens.

Onvoldoende transparantie over de beveiliging

De verantwoordelijke moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft en hij moet toezien op de naleving. Als de verantwoordelijke onvoldoende inzicht heeft in het geboden beveiligingsniveau of als hij niet vast kan stellen of de bewerker de overeengekomen beveiligingsmaatregelen daadwerkelijk heeft getroffen, dan kan hij niet aan deze wettelijke verplichting voldoen. Ook kan hij ten onrechte veronderstellen dat de bewerker bepaalde beveiligingsmaatregelen heeft getroffen, wat kan leiden tot verlies of onrechtmatige verwerking van de verwerkte persoonsgegevens.

Onvoldoende transparantie over opgetreden beveiligingsincidenten

Als de bewerker de verantwoordelijke niet tijdig en adequaat informeert over opgetreden beveiligingsincidenten, dan kan dat tot gevolg hebben dat de betreffende persoonsgegevens onrechtmatig worden verwerkt. Als een hostingprovider de verantwoordelijke bijvoorbeeld niet informeert over een inbraak in diens online database met creditcardgegevens, dan kan de verantwoordelijke vervolgens de betrokkenen niet informeren en zullen de betrokkenen hun creditcard pas laten blokkeren wanneer ze constateren dat er ten onrechte bedragen van hun rekening worden afgeschreven. Dit stelt de dief onnodig lang in staat om te frauderen met de gestolen creditcardgegevens.

Onvoldoende continuïteit van de dienstverlening door de bewerker

Overname of faillissement van de bewerker kunnen ertoe leiden dat de bewerker zijn dienstverlening aanpast of staakt. Het gevolg kan onder meer zijn dat de persoonsgegevens die de bewerker verwerkte tijdelijk of permanent niet meer toegankelijk zijn voor de verantwoordelijke.

Onvoldoende portabiliteit van de verwerkte persoonsgegevens

Bewerkers maken bij het verwerken van persoonsgegevens niet altijd gebruik van standaardtechnologieën en ¬oplossingen. Door de bewerker verwerkte persoonsgegevens kunnen daardoor niet altijd zonder meer overgebracht worden naar een database van een andere bewerker of van de verantwoordelijke zelf. Als de bewerker zijn dienstverlening staakt, kan dit betekenen dat de verwerkte persoonsgegevens verloren gaan.

Onvoldoende beveiliging door de subbewerker(s)

Om voor de verwerking als geheel te kunnen spreken van een adequaat beveiligingsniveau, moeten de bewerker en de eventuele subbewerkers de juiste beveiligingsmaatregelen treffen en moeten de beveiligingsmaatregelen gezamenlijk de belangrijkste dreigingen afdekken. Naarmate het aantal subbewerkers toeneemt, wordt ook de kans groter op lacunes in de beveiliging.

Onvoldoende transparantie over de verwerking en de beveiliging door de subbewerker(s)

Om aan zijn wettelijke verplichtingen te kunnen voldoen moet de verantwoordelijke voldoende inzicht hebben in welke subbewerkers welke taken uitvoeren bij de verwerking en in het daarbij geboden beveiligingsniveau. Als hij hier niet voldoende inzicht in heeft of als hij niet vast kan stellen of alle subbewerkers de overeengekomen beveiligingsmaatregelen daadwerkelijk hebben getroffen, kan hij niet aan deze wettelijke verplichting voldoen. Ook kan hij dan ten onrechte veronderstellen dat een subbewerker bepaalde beveiligingsmaatregelen heeft getroffen, wat kan leiden tot verlies of onrechtmatige verwerking van de verwerkte persoonsgegevens.

Verwerking van persoonsgegevens buiten Nederland

Bewerker (deels) buiten Nederland

De verantwoordelijke stelt persoonsgegevens ter beschikking aan een bewerker die is gevestigd buiten Nederland of die een of meer vestigingen heeft buiten Nederland, om deze gegevens daar door de bewerker te laten verwerken.

Subbewerker (deels) buiten Nederland

De bewerker stelt persoonsgegevens ter beschikking aan een subbewerker die is gevestigd buiten Nederland of die een of meer vestigingen heeft buiten Nederland, om deze gegevens daar door de subbewerker te laten verwerken.

Cloud computing met gegevensopslag buiten Nederland

De verantwoordelijke, de bewerker of een of meer subbewerkers maken gebruik van cloud computing, waarbij persoonsgegevens worden opgeslagen buiten Nederland.

Bij verwerking van persoonsgegevens buiten Nederland moet in de risicoanalyse rekening worden gehouden met het volgende:

Niet-naleving van de Wbp

De Wbp bevat regels voor doorgifte van persoonsgegevens aan landen buiten de Europese Unie. Het is aan de verantwoordelijke om te zorgen dat deze worden nageleefd. De regels voor doorgifte van persoonsgegevens vallen buiten het bestek van deze richtsnoeren.

Onvoldoende beveiliging, transparantie, continuïteit en/of portabiliteit

Bij verwerking van persoonsgegevens buiten Nederland kunnen alle eerder in deze paragraaf genoemde dreigingen en kwetsbaarheden in versterkte mate aanwezig zijn. Dit geldt met name voor de mate waarin de verantwoordelijke vast kan stellen of afgesproken beveiligingsmaatregelen daadwerkelijk zijn getroffen. De geografische afstand kan dusdanig zijn dat de verantwoordelijke dit niet zelf kan onderzoeken, waardoor hij afhankelijk wordt van voldoende gekwalificeerde, lokale partijen die dit namens hem vast kunnen stellen.

Afspraken in de bewerkersovereenkomst

De verantwoordelijke stelt vast welke beveiligingsmaatregelen de bewerker moet treffen om aan de betrouwbaarheidseisen te voldoen en op welke wijze de verantwoordelijke toeziet op naleving. De afspraken hierover legt hij vast in de overeenkomst met de bewerker.

Beveiligingseisen in de bewerkersovereenkomst

Er is een bewerkersovereenkomst waarin alle relevante afspraken zijn vastgelegd over de beveiligingsmaatregelen die de bewerker moet treffen en over de wijze waarop de verantwoordelijke toeziet op naleving.

Differentiatie van de verwerkte persoonsgegevens

Het kan voorkomen dat niet alle persoonsgegevens die de bewerker verwerkt even gevoelig zijn en dat niet voor alle verwerkte persoonsgegevens dezelfde afspraken van toepassing zijn. In de bewerkersovereenkomst is in dergelijke gevallen vastgelegd welke afspraken van toepassing zijn op welke persoonsgegevens.

De dienstverlening door de bewerker

Omschrijving van de dienst(en) die de bewerker verleent en de persoonsgegevens die de bewerker daarbij verwerkt (eventueel gedifferentieerd op basis van gevoeligheid). Verder wordt omschreven welke (groepen) medewerkers van de bewerker toegang hebben tot welke persoonsgegevens en welke handelingen deze medewerkers uit mogen voeren met de persoonsgegevens. Er is een expliciet verbod opgenomen om andere handelingen met de persoonsgegevens uit te voeren dan wat hier is omschreven.

De betrouwbaarheidseisen die op de verwerking van toepassing zijn

Weergave van de betrouwbaarheidseisen die op de verwerking van toepassing zijn, waar van toepassing gedifferentieerd op basis van de gevoeligheid van de verwerkte persoonsgegevens.

De beveiliging door de bewerker

Afspraken over de technische en organisatorische beveiligingsmaatregelen waarmee de bewerker invulling geeft aan de betrouwbaarheidseisen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de verantwoordelijke moet treffen.

Transparantie over de beveiliging

Afspraken over de inhoud en de frequentie van de rapportages die de bewerker aan de verantwoordelijke oplevert over de beveiliging; omschrijving van het recht van de verantwoordelijke om de naleving van de beveiligingsmaatregelen door onafhankelijke deskundigen vast te laten stellen. Onafhankelijke deskundigen kunnen bijvoorbeeld IT auditors of penetratietesters zijn.

Transparantie over opgetreden beveiligingsincidenten

Afspraken over de inhoud van rapportages over beveiligingsincidenten en datalekken, de criteria voor rapportage van incidenten en de snelheid waarmee wordt gerapporteerd. In de afspraken is opgenomen dat de bewerker beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen meteen rapporteert en dat de bewerker waar nodig ook meewerkt aan het adequaat informeren van de betrokkenen.

Verwerking door subbewerkers

Afspraken over het al dan niet toestaan van verwerking door subbewerkers, met daarbij de eventuele beperkingen. Beperkingen zijn bijvoorbeeld dat de bewerker subbewerkers mag inschakelen maar dat de subbewerkers geen subsubbewerkers in mogen schakelen of dat bij de verwerking van specifieke klassen van persoonsgegevens geen subbewerkers mogen worden ingeschakeld. Als bewerking door subbewerkers is toegestaan, dan is in de bewerkersovereenkomst opgenomen dat met de subbewerkers overeenkomsten moeten worden afgesloten en dat alle verplichtingen uit het bewerkerscontract die relevant zijn voor de beveiliging van de verwerkte persoonsgegevens daarin moeten worden overgenomen.

Verwerking van de persoonsgegevens buiten Nederland

Afspraken over welke persoonsgegevens in welke landen worden verwerkt.

Voorwaarden voor heronderhandeling of beëindiging van de overeenkomst

Afspraken over heronderhandeling van de bewerkersovereenkomst als een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen daar aanleiding toe geeft. Bij de afspraken is ook een noodplan opgenomen voor het geval een van de partijen de relatie wil beëindigen voor het einde van de looptijd van de overeenkomst. Verder is vastgelegd hoe en in welke vorm de verantwoordelijke de verwerkte persoonsgegevens weer ter beschikking krijgt en hoe wordt geborgd dat de bewerker na het beëindigen van de relatie niet meer over de persoonsgegevens kan beschikken.

Toezicht op naleving van de afspraken

De verantwoordelijke stelt vast dat de afspraken in de bewerkersovereenkomst daadwerkelijk worden nageleefd.

Controle en beoordeling van de dienstverlening door de bewerker

De verantwoordelijke stelt vast dat de afspraken uit de bewerkersovereenkomst daadwerkelijk worden nageleefd. Hij stelt in ieder geval vast dat de bewerker overeengekomen rapportages daadwerkelijk levert en beoordeelt deze ook inhoudelijk. Verder maakt hij om voldoende zekerheid te krijgen over de naleving gebruik van bijvoorbeeld audits of andere onderzoeken door onafhankelijke partijen.

Beoordeling en afhandeling van beveiligingsincidenten en datalekken

De verantwoordelijke beoordeelt de beveiligingsincidenten en datalekken die worden gerapporteerd door de bewerker of door eventuele subbewerkers. Datalekken die onder een wettelijke meldplicht vallen, meldt hij bij de betreffende toezichthouder. Als hij daartoe wettelijk verplicht is of als er anderszins aanleiding voor is, informeert hij ook de betrokkenen over het beveiligingsincident of het datalek.

Beheer van wijzigingen in de dienstverlening door de bewerker

De verantwoordelijke stelt periodiek vast dat de beveiligingsmaatregelen die met de bewerker zijn overeengekomen nog steeds aantoonbaar overeenstemmen met de betrouwbaarheidseisen en neemt het initiatief tot aanpassing als dat niet meer het geval is. Van wijzigingen die de bewerker initieert stelt de verantwoordelijke vast dat na implementatie nog steeds aan de betrouwbaarheidseisen wordt voldaan.

Evaluatie en aanpassing van verwerking door een bewerker

Veranderingen bij de bewerker

De verantwoordelijke voert periodiek een evaluatie uit van de bewerking door een bewerker en past deze bewerking waar nodig aan. Als zich tussentijds grote veranderingen voordoen, beoordeelt hij deze en voert hij de eventueel noodzakelijke aanpassingen door. Bij grote veranderingen in de dienstverlening door de bewerker en eventuele subbewerkers stelt de verantwoordelijke vast of de gemaakte afspraken nog steeds toereikend zijn. Van dergelijke veranderingen is bijvoorbeeld sprake als de bewerker wordt overgenomen of een ingrijpende aanpassing doorvoert in zijn algemene voorwaarden.

Veranderingen bij de verantwoordelijke

Ook grote veranderingen bij de verantwoordelijke zelf kunnen hier aanleiding toe geven, bijvoorbeeld als in de nieuwe situatie de persoonsgegevens die de bewerker verwerkt veel gevoeliger zijn dan voorheen het geval was. Het aanbod aan dienstverlening kan in de loop van de tijd veranderen en ook kunnen de ervaringen die de verantwoordelijke met de bewerker heeft opgedaan aanleiding zijn om voor een andere bewerker of een andere vorm van dienstverlening te kiezen. Verder kan de aard van de verwerking of van de verwerkte persoonsgegevens in de loop van de tijd leiden tot nieuwe of andere risico’s voor de betrokkenen, bijvoorbeeld als gevolg van maatschappelijke ontwikkelingen.

Evaluatie en verantwoordelijkheden

De verantwoordelijke voert daarom een periodieke evaluatie uit en kiest op basis daarvan zo nodig voor een andere bewerker, een andere vorm van dienstverlening of voor aanscherping van de afspraken in de bewerkersovereenkomst. Bij dit laatste neemt de verantwoordelijke ook de getrokken lessen uit de opgetreden beveiligingsincidenten mee.