Column


IT-jurist Peter van Schelven over...

Bewerkerscontracten? De druk neemt toe

Bedrijven en andere organisaties die de opslag of andere vormen van verwerking van persoonsgegevens aan een ander uitbesteden, zijn wettelijk verplicht een zogeheten bewerkerscontract te sluiten. Die verplichting bestaat al sinds de inwerkingtreding per 1 september 2001 van de Wet bescherming persoonsgegevens. Op basis van die regeling worden al zo’n vijftien jaar in groten getale bewerkerscontracten afgesloten met bijvoorbeeld hostingbedrijven en cloudproviders.

Recycling ICT
De praktijk laat echter ook zien dat in sommige delen van het maatschappelijk leven men het niet zo nauw neemt met deze in de wet voorgeschreven contracteerplicht. Wie na jarenlang gebruik zijn oude printer en copier, voorzien met harde schijf met documenten vol met persoonsgegevens, ter vernietiging afdankt aan een recyclingbedrijf of teruggeeft aan het verhuur- of leasebedrijf, moet ook zo’n bewerkerscontract afsluiten, maar zoiets blijkt vaak niet te gebeuren. Het risico is dan groot dat persoonsgegevens makkelijk in verkeerde handen vallen. Op YouTube zijn daarover onthutsende praktijken te zien.

Uitgangspunt van de Wet bescherming persoonsgegevens is dat in een bewerkerscontract duidelijk en precies geregeld moet worden wat de inhoud van de opdracht is die aan de ‘bewerker’ wordt gegeven. ‘Bewerker’ is de officiële term waarmee de ingeschakelde provider in de wet wordt aangeduid. Hostingbedrijven, cloudproviders en recyclers zijn juridisch gezien dus bewerkers. De gedachte is dat met een welbepaalde omschrijving van de dienstverlening van de bewerker de bescherming van persoonsgegevens is gebaat. Immers, de bewerker mag in beginsel niet iets anders met de persoonsgegevens doen dan uit zijn opdracht voortvloeit.

Subcontracting
Kijk je naar de tekst van de wet, dan zwijgt die volledig over de vraag of een bewerker gerechtigd is een subbewerker in te schakelen. Met andere woorden: mag een hostingbedrijf de door hem te verlenen diensten in subhosting zelf ook weer uitbesteden? De praktijk is uiteraard dat dit volop gebeurt. Niet zelden is er een hele keten van bedrijven betrokken bij de verwerking van data en de daarmee verband houdende IT-diensten.

Moet je als opdrachtgever in het bewerkerscontract waarborgen opnemen voor het geval de ingeschakelde bewerker gebruik zou willen maken van de diensten van een subcontractor? Hoewel de wet er dus niets over zegt, heeft de Autoriteit Persoonsgegevens, die toezicht houdt op naleving van de wet, die vraag een paar dagen terug duidelijk met een ‘ja’ beantwoord.

Digitaliseren patiëntdossiers
De toezichthouder heeft zich uitgesproken over drie ziekenhuizen die geen goede afspraken hadden gemaakt met een bedrijf dat ten behoeve van het ziekenhuis patiëntgegevens verwerkte. De dienstverlening van dat bedrijf ging over het digitaliseren van patiëntendossiers. Een van de drie ziekenhuizen had sowieso al geen bewerkerscontract gesloten en de bewerkerscontracten van de twee andere ziekenhuizen konden de toets der kritiek niet doorstaan. In dat kader heeft de Autoriteit Persoonsgegevens een reeks van ‘minimumeisen’ voor bewerkerscontracten opgesteld, waaronder de eis dat als sprake is van een subbewerkerschap, ook daarover bepalingen in het contract moeten zijn opgenomen.

Bij dit laatste denk ik bijvoorbeeld aan de eis dat een subbewerker pas na toestemming mag worden ingeschakeld of aan duidelijke afspraken in het bewerkerscontract over de vraag welke rol de opdrachtgever - het ziekenhuis - speelt in de selectie van een eventuele subbewerker. Van belang is dat niet alleen de bewerker zelf, maar ook een subbewerker waarborgen biedt omtrent de kwaliteit, integriteit en een zorgvuldige omgang met de betrokken persoonsgegevens. Het is daarom ook niet ongebruikelijk dat een goed bewerkerscontract het nodige regelt over een eventuele vervanging van de subbewerker.

Extra check
De praktijk rondom bewerkerscontracten laat zien dat het punt van de subcontracting niet altijd de volle aandacht krijgt. Met de recente opinie van de Autoriteit Persoonsgegevens over de betrokken ziekenhuizen neemt de druk over dit onderwerp toe. Het is geen slechte zaak als u nog eens checkt of uw eigen bewerkerscontracten op dit specifieke onderdeel nog wel bij de tijd zijn.

 


Lees meer over