icon

Bewerkers en de Wet Meldplicht Datalekken

Gedurende de afgelopen weken hebben wij u in deze serie bijgepraat over de wijzigingen van de Wet Bescherming Persoonsgegevens die het gevolg zijn van de Wet Meldplicht Datalekken. Daarbij zijn wij uitgegaan van de situatie dat de verantwoordelijke de verwerking van persoonsgegevens zelf uitvoert. In de praktijk maken veel verantwoordelijken natuurlijk gebruik van de diensten van derden, zoals clouddienstverleners en hostingproviders, die namens de verantwoordelijke persoonsgegevens verwerken. In deze blog gaan wij daarom nader in op de gevolgen van de Wet Meldplicht Datalekken voor (overeenkomsten met) dergelijke bewerkers.

Artikel 14 van de Wbp verplichtte de verantwoordelijke al om ervoor zorg te dragen dat de bewerker de door hem te verrichten verwerkingen van persoonsgegevens voldoende beveiligt. Nieuw is dat de verantwoordelijke er voortaan op moet toezien dat a) de bewerker voldoende waarborgen biedt met betrekking tot het melden van datalekken en b) dat de bewerker de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding. Hiermee wordt bedoeld dat de verantwoordelijke ervoor moet zorgen dat de bewerker datalekken die gemeld moeten worden aan de Autoriteit Persoonsgegevens (het CBP), meldt aan de verantwoordelijke. Deze kan vervolgens op basis van die informatie de melding aan de Autoriteit doen. Overigens kunnen partijen afspreken dat de bewerker in voorkomende gevallen een datalek zelf meldt. De verantwoordelijke blijft echter altijd eindverantwoordelijk voor het doen van de melding.

De afspraken tussen verantwoordelijke en bewerker moeten worden geregeld in een overeenkomst. Hoewel dat in beginsel ook een mondelinge overeenkomst kan zijn, geldt voor afspraken op een aantal vlakken dat deze schriftelijk moeten worden vastgelegd. Tot nu toe gold dat voor de afspraken over de bescherming van de persoonsgegevens en de beveiligingsmaatregelen. Daaraan wordt nu toegevoegd dat – het zal niet verbazen – de afspraken over de melding van datalekken schriftelijk moeten worden vastgelegd.

Die verplichting heeft voor de praktijk nogal verstrekkende gevolgen. Vrijwel geen enkele bestaande bewerkersovereenkomst zal afspraken bevatten over melding van datalekken, terwijl het dus per 1 januari a.s. verplicht is om die afspraken op schrift te hebben. Uw bestaande bewerkersovereenkomsten zullen dus vrijwel zeker aanpassing en uitbreiding behoeven. Actie is geboden: ook op overtreding van deze verplichting wordt een boete gesteld.

Overzicht van de andere afleveringen van deze serie

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Bewerkers en de Wet Meldplicht Datalekken

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief