Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Bescherming persoonsgegevens | Bewerkersovereenkomst | Binding Corporate Rules | Cookies | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Europese Privacyverordening | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Safe Harbor | Vergeetrecht
De Europese Privacyverordening heeft een nieuwe naam voor de bewerkersovereenkomst: verwerkersovereenkomst. Dit sluit aan bij de veranderde termen 'verantwoordelijke' ('controller') die is vervangen door verwerkingsverantwoordelijke en 'bewerker' ('processor') die is aangepast tot verwerker.
Op deze pagina hanteren we voorlopig nog de oude benamingen.

Bewerken persoonsgegevens: de bewerkersovereenkomst

Een bewerkersovereenkomst of data processing agreement (DPA) is een begrip uit de privacyregelgeving.
Twee termen uit de privacyregelgeving dienen te worden toegelicht. Dit zijn de begrippen 'verantwoordelijke' en 'bewerker'.

De verantwoordelijke (controller) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Denk hierbij aan een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.

De bewerker (processor) is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor dat voor het bedrijf de salarisadministratie afhandelt bewerker zijn.
Artikel 29-werkgroep met voorbeelden van controller en processor

De bewerkersovereenkomst is de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Het valt onder de verantwoordelijkheid van de verantwoordelijke (what's in a name?) dat dit ook gebeurt.

Zie de pagina Persoonsgegevens voor het begrip verwerken

Wanneer is een bewerkersovereenkomst nodig?

Bewerker - werk in uitvoering Als een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, is altijd een bewerkersovereenkomst tussen beide verplicht. Dit geldt ook als de bewerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens 'uitbesteedt', is een schriftelijke overeenkomst vereist.

Besef dat er algauw sprake is van 'verwerken' van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking.

Onderwerpen in een bewerkersovereenkomst

Over het algemeen zijn onderstaande onderwerpen in de meeste bewerkersovereenkomsten terug te vinden.

Verwerker en verwerkersovereenkomst

Met de komst van de Europese Privacyverordening worden de begrippen 'bewerker' en 'bewerkersovereenkomst' hernoemd in 'verwerker' en 'verwerkersovereenkomst'.