Een bewerkersovereenkomst is wettelijk verplicht wanneer een partij het verwerken van persoonsgegevens bij een andere partij wil uitbesteden. Met deze overeenkomst leggen partijen vast voor welke doeleinden de gegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen en welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen.
De privacywet (Wet bescherming persoonsgegevens, en vanaf 2018 de Algemene Verordening Gegevensbescherming) eist dat wanneer een dienst met betrekking tot persoonsgegevens wordt uitbesteed bij een ander, er met die ander een bewerkersovereenkomst moet worden gesloten. Dit geldt in de praktijk dus voor alle leveranciers die u heeft, wanneer deze persoonsgegvens van u ontvangen. Van de uitbestede salarisadministratie tot de hoster van uw website of de zzp’er die van tijd tot tijd u hand- en spandiensten verleent.
In een bewerkersovereenkomst wordt geborgd welke plichten die ander heeft, welke verwerkingen mogen worden uitgevoerd en hoe de verantwoordelijke (de uitbestedende partij) daar toezicht op houdt.
Een bewerkersovereenkomst is een juridisch instrument met daarin op zijn minst:
- Doeleinden van verwerking
- Verplichtingen van de bewerker
- Doorgifte van persoonsgegevens naar derde landen
- Garanties van beide partijen over correct naleven van de wet
- Beveiliging van de persoonsgegevens door de verwerker
- Een interne datalekmeldplicht naar de verantwoordelijke
- Omgaan met verzoeken van betrokkenen
- Eigendom van de persoonsgegevens
- Vrijwaringen over claims van betrokkenen en derden (zoals toezichthouders)
- Geheimhouding bij persoonsgegevens
- Duur, verlenging en opzegging
- Wijzigen van de bewerkersovereenkomst
Formeel moet de bewerkersovereenkomst als apart document (bijvoorbeeld een bijlage bij een mantelcontract of inkoopcontract) worden opgezet, maar in de praktijk wordt ook vaak volstaan met een artikel in een andere overeenkomst waarin bewerkersbepalingen zijn opgenomen.