Bewerkersovereenkomst voor Meldplicht Datalekken beschikbaar

Op 1 januari 2016 is de Wet Meldplicht Datalekken van kracht geworden als onderdeel van de ‘Wet Bescherming Persoonsgegevens’ (Wbp). Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (voorheen het ‘College Bescherming Persoonsgegevens’) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

U als klant wordt in de Wet Meldpicht Datalekken genoemd als ‘verantwoordelijke’ voor de databestanden. AllSolutions wordt als SaaS leverancier in deze wet de ‘bewerker’ genoemd, ondanks het feit dat wij geen gegevens in uw databestand invoeren.

Afsluiten overeenkomst verplicht

Organisaties die het verwerken van (persoons-)gegevens uitbesteden, zijn sinds 1 januari 2016 wettelijk verplicht met hun service-provider een specifieke overeenkomst af te sluiten. In een dergelijke bewerkersovereenkomst leggen beide partijen vast voor welke doeleinden de gegevens worden verwerkt, welke beveiligingsmaatregelen zijn genomen en welk toezicht de eigenaar van de gegevens mag uitoefenen.

AllSolutions heeft daarom, in overleg met de branchevereniging Nederland ICT, het voortouw genomen voor het opstellen van een bewerkersovereenkomst met afspraken voor zowel het verwerken van de persoonsgegevens als ook de procedure van de meldplicht bij datalekken. Op deze manier kunnen onze klanten op eenvoudige wijze aan hun wettelijke verplichting voldoen.

Veelgestelde vragen

Hieronder vindt u extra informatie over de meldplicht datalekken – en wat deze voor u en uw organisatie betekent.

Wat is een datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Wat betekent de meldplicht datalekken voor mij als organisatie?

Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens (AP). Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.

Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?

U kunt een datalek melden via het meldloket datalekken.

Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?

De Autoriteit Persoonsgegevens slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.

Wat is de reden voor het afsluiten van een bewerkersovereenkomst?

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). AllSolutions als SaaS leverancier wordt hierbij gezien als bewerker, ondanks het feit dat wij geen gegevens in uw databestand invoeren. Vandaar dat wij, samen met onze branchevereniging Nederland ICT, een bewerkersovereenkomst hebben opgesteld met afspraken voor zowel het verwerken van de persoonsgegevens als ook de procedure van de meldplicht bij datalekken.

Ben ik verplicht een bewerkersovereenkomst af te sluiten?

Volgens de nieuwe wet bent u inderdaad verplicht een bewerkersovereenkomst af te sluiten met alle leveranciers die in contact zijn met persoonsgegevens die u in een databestand vastlegt.

Wie is er verantwoordelijk voor de data?

U als klant bent volgens de wet verantwoordelijk voor de data.

Waarom heeft AllSolutions deze overeenkomst opgesteld?

AllSolutions wordt volgens de wet gezien als bewerker. Daarom hebben we besloten om samen met onze branchevereniging Nederland ICT een eenduidige bewerkersovereenkomst te maken voor al onze klanten. Dit document regelt de afspraken tussen u als klant en AllSolutions als leverancier van uw omgeving. U kunt deze overeenkomst zien als een document waarin AllSolutions aangeeft alle noodzakelijke voorzorgsmaatregelen te hebben getroffen om uw data veilig op te slaan. Op deze manier kunt u gemakkelijk aan uw wettelijke verplichting voldoen.

Wij hebben toch al een overeenkomst met AllSolutions over SaaS. Waarom dan nog een overeenkomst?

In deze overeenkomst worden aanvullende zaken geregeld, zoals het vastleggen van technische en organisatorische beveiligingsmaatregelen, de afgesproken procedures bij datalekken en afspraken over de verantwoordelijkheden van u als klant en van AllSolutions als uw leverancier.

Welke gegevens moet ik (klant) in bijlage 1 – kopje B (aard van de persoonsgegevens) invullen?

In bijlage1 – kopje B geeft u aan welke persoonsgegevens u vastlegt, die bij een eventueel datalek zodanig specifiek zijn, dat u volgens de nieuwe wet een melding moet doen bij de ‘Autoriteit Persoonsgegevens’.

Wanneer u niet precies weet wat u hier moet invullen, dan kunt u contact opnemen met uw consultant bij AllSolutions.

De overeenkomst lijkt zo opgesteld dat alle verantwoordelijkheid bij ons als klant ligt?

Dat is juist. U als klant bent volgens de wet verantwoordelijk voor de vastgelegde data. In de overeenkomst maakt u met AllSolutions duidelijke afspraken omtrent de verwerking van de persoonsgegevens en de procedure bij eventuele datalekken, zodat beide partijen precies weten waar ze aan toe zijn. Vanuit AllSolutions zorgen wij ervoor te voldoen aan de beveiligingseisen en u als klant zorgt ervoor dat u er alles aan doet om geen data te lekken. Zie ook dit artikel dat recent online is verschenen.

Wat is de uiterste datum waarop ik de bewerkersovereenkomst getekend kan retourneren?

De wet ‘Meldplicht datalekken’ is op 1 januari 2016 ingegaan. In het kader van deze nieuwe wet is het belangrijk dat u kunt aantonen dat u met uw leverancier(s) afspraken hebt gemaakt omtrent de verwerking van de persoonsgegevens en de procedure voor het melden van datalekken.

Heeft u de getekende bewerkersovereenkomst nog niet geretourneerd? Wilt u deze dan zo spoedig mogelijk doch uiterlijk 1 mei 2016 aan ons versturen?

Meer informatie

Wilt u meer weten over de meldplicht datalekken? Kijk dan op deze pagina van de Autoriteit Persoonsgegevens. Hier vindt u ook het document met de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens.