Bij steeds meer IT-contracten is er sprake van verwerking van persoonsgegevens door de leverancier. Onder persoonsgegevens worden gegevens verstaan die (indirect) herleidbaar zijn tot natuurlijke personen. Tom Jozak behandelt in zijn weblog-bijdrage de eisen die de Wet bescherming persoonsgegevens stelt aan de verwerkers van persoonsgegevens en onderwerpen die een bewerkersovereenkomst moet bevatten.
De verwerking van persoonsgegevens mag slechts onder bepaalde voorwaarden plaatsvinden. Belangrijk hierbij is dat het doel waarvoor persoonsgegevens zijn verkregen welbepaald is, zij ter zake dienend zijn en niet bovenmatig worden verzameld. De verwerking moet op behoorlijke en zorgvuldige wijze gebeuren.
Uit de Wbp volgt verder dat iedere verwerkingshandeling, (onder meer het verzamelen, vastleggen, bewaren, wijzigen, opvragen, raadplegen, verspreiden, maar ook vernietigen van deze gegevens) aan regels van de Wbp is onderworpen. Eén van deze regels is dat het door een derde laten verwerken van persoonsgegevens, bijvoorbeeld in het kader van uitbesteding, een bewerkersovereenkomst vereist. Het bestaan van deze bewerkersovereenkomst is daarbij in het belang van zowel afnemer als leverancier. De leverancier zal doorgaans de Wbp al overtreden door deze gegevens voorhanden te hebben zonder het bestaan van een dergelijke overeenkomst.
De afnemer (of de verantwoordelijke, degene die het doel en de middelen voor de verwerking vaststelt) moet met de leverancier (de bewerker) afspraken betreffende de gegevensverwerking doorgaans in een aparte overeenkomst opnemen. Daarnaast moeten ook verplicht een aantal onderwerpen worden opgenomen in een bewerkersovereenkomst.
Wilt u meer weten over de onderwerpen die aan bod moeten komen in een bewerkersovereenkomst en of uw organisatie aangemerkt kan worden als bewerker in de zin van Wbp, neemt u dan contact met ons op.