Bij steeds meer IT-contracten is er sprake van verwerking van persoonsgegevens door de leverancier. Onder persoonsgegevens worden gegevens verstaan die (indirect) herleidbaar zijn tot natuurlijke personen (dat kan variëren van NAW-gegevens tot unieke nummers zoals een bankrekeningnummer). Het verwerken van deze gegevens is in Nederland gereguleerd in de Wet bescherming persoonsgegevens (Wbp). In deze bijdrage ga ik in op de eisen die de Wbp stelt aan de verwerkers van persoonsgegevens en welke onderwerpen een bewerkersovereenkomst moet bevatten.
De verwerking van persoonsgegevens mag slechts onder bepaalde voorwaarden plaatsvinden. Uit Santander arrest volgt dat bij elke verwerking van persoonsgegevens moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit (art. 8 EVRM). Belangrijk hierbij is dat het doel waarvoor persoonsgegevens zijn verkregen welbepaald is, zij ter zake dienend zijn en niet bovenmatig worden verzameld. De verwerking moet op behoorlijke en zorgvuldige wijze gebeuren. Uit de Wbp volgt verder dat iedere verwerkingshandeling, (onder meer het verzamelen, vastleggen, bewaren, wijzigen, opvragen, raadplegen, verspreiden, maar ook vernietigen van deze gegevens) aan regels van de Wbp is onderworpen. Eén van deze regels is dat het door een derde laten verwerken van persoonsgegevens, bijvoorbeeld in het kader van uitbesteding, een bewerkersovereenkomst vereist. Het bestaan van deze bewerkersovereenkomst is daarbij in het belang van zowel afnemer als leverancier. De leverancier zal doorgaans de Wbp al overtreden door deze gegevens voorhanden te hebben zonder het bestaan van een dergelijke overeenkomst.
Verantwoordelijke of bewerker
Indien een organisatie persoonsgegevens in de zin van de Wbp verwerkt, dan zal zij hier bij het sluiten van een nieuwe (IT-)overeenkomst contractueel rekening mee moeten houden. In de nieuwe rechtsrelatie kan zij opdrachtgever of opdrachtnemer zijn. Als zij opdrachtgever is, zal zij conform de Wbp worden aangemerkt als verantwoordelijke. Is zij echter opdrachtnemer dan wordt zij aangemerkt als bewerker. De verantwoordelijke is degene die het doel en de middelen voor de verwerking vaststelt en op hem rusten dan ook de belangrijkste plichten uit de Wbp (de meldplicht en de informatieplicht). In bepaalde gevallen kan sprake zijn van een uitzondering,vrijstelling en/of beperking van de Wbp (art. 3 en art. 43 en 44 Wbp).
De verantwoordelijke kan besluiten het verwerken van de persoonsgegevens uit te besteden aan een derde[1]. Op deze derde rusten volgens de Wbp een aantal wettelijke plichten, aangezien deze de persoonsgegevens ten behoeve van de verantwoordelijke verwerkt. Dit doet hij conform de onderliggende overeenkomst van opdracht (7:400 BW), dus zonder aan zijn rechtstreeks gezag te zijn onderworpen. Het is daarom aan te bevelen om in de bewerkersovereenkomst eenduidig de rechten en plichten tussen de partijen vast te leggen: wie is de verantwoordelijke en wie is de bewerker van de persoonsgegevens en aan welke rechten en plichten moeten de partijen hierbij voldoen?
Vorm van en onderwerpen in een bewerkersovereenkomst
Het CBP stelt zich op het standpunt dat als de overeenkomst meer betreft dan alleen gegevensverwerking, afspraken betreffende die gegevensverwerking in een aparte overeenkomst moeten worden opgenomen. Bij een typische SaaS-overeenkomst zal het heel wel verdedigbaar zijn om dit integraal te doen.
Om te voldoen aan het standpunt van het CBP, is het raadzaam om in de bewerkersovereenkomst een bepaling op te nemen waarin staat dat de bewerker de persoonsgegevens uitsluitend in opdracht en volgens de instructies van zijn opdrachtgever (de verantwoordelijke) verwerkt. Uit de bepaling(en) moet dus onmiskenbaar blijken dat er een gezagsverhouding bestaat. De verantwoordelijke zal erop moeten kunnen toezien dat zijn continuïteits- en beveiligingsbeleid door de bewerker correct wordt uitgevoerd en nageleefd. Dit houdt onder meer in dat de bewerker organisatorische en technische maatregelen op zich neemt met betrekking tot beveiliging van de persoonsgegevens of tegen enige vorm van onrechtmatige verwerking daarvan. Tevens moet hij de gegevens – voorzover daar beroep op wordt gedaan – continu ter beschikking stellen aan de verantwoordelijke. Ook zal de bewerker in het kader van het continuiteitsbeleid bij beëindiging van de overeenkomst de gegevens zodanig moeten bewaren dat deze zijn te gebruiken voor een andere applicatie van een derdeleverancier en indien nodig, ook compleet zijn te verwijderen.
Het moge duidelijk zijn dat het voldoen aan deze wetgeving bij een leverancier met meerdere opdrachtgevers lastiger zal zijn, indien deze opdrachtgevers tegenstrijdige opvattingen hebben over de continuïteit en veiligheid . De leverancier dient daarom ook aan dit aspect aandacht te schenken, voordat hij zich committeert aan afspraken die hij mogelijk niet kan nakomen vanwege Wbp-plichten die voortvloeien uit reeds bestaande relaties met andere opdrachtgevers.
Wellicht niet onbelangrijk om te noemen en ook raadzaam om op te nemen in de bewerkersovereenkomst/-bepaling is een vrijwaringsrecht dat ingeroepen kan worden op het moment dat één van de partijen aangesproken wordt door een benadeelde derde. Dit vrijwaringsrecht wordt niet verplicht voorgeschreven door de Wbp, maar kan in bepaalde gevallen een gunstig effect sorteren.