Waarom u voor de meldplicht datalekken een bewerkersovereenkomst op moet stellen

Een veelgenoemde term in het kader van de wet meldplicht datalekken is de bewerkersovereenkomst, maar wat is dit precies? Waarom is dit van belang? En wat moet er dan in staan? In dit blog krijgt u een antwoord op de vraag wanneer en waarom u een bewerkersovereenkomst voor de wet meldplicht datalekken op moet stellen.

Bewerkersovereenkomst opstellen bij meldplicht datalekken

De bewerkersovereenkomst is een overeenkomst tussen de verantwoordelijke en de bewerker. U wordt als verantwoordelijke aangemerkt wanneer u het doel waarvoor en de middelen waarmee persoonsgegevens worden verwerkt, vaststelt. De bewerker is de organisatie die voor u de persoonsgegevens verwerkt. Heeft u uw IT of salarisadministratie bijvoorbeeld uitbesteed, dan wordt u aangemerkt als verantwoordelijke en uw dienstverlener als bewerker.

Volgens de wet bescherming persoonsgegevens (wbp) bent u dan verantwoordelijk voor het treffen van maatregelen om persoonsgegevens veilig te stellen. Een voorbeeld hiervan is de bewerkersovereenkomst. De bewerkersovereenkomst is een schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker en is tevens een wettelijke verplichting.


De bewerkersovereenkomst is een schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker en is tevens een wettelijke verplichting.


Meldplicht datalekken

Naast de verantwoordelijkheid voor het voorkomen en melden van eigen datalekken, bevat de meldplicht datalekken tevens een ketenaansprakelijkheid. Die stelt dat u, als verantwoordelijke, onverwijld en zo mogelijk niet later dan 72 uur, een melding van een datalek bij uw (sub)bewerker dient te verrichten , wanneer deze  betrekking heeft op uw persoonsgegevens. U dient er dus zorg voor te dragen dat u tijdig op de hoogte raakt van een datalek bij de (sub)bewerker om aan uw meldingsplicht te kunnen voldoen.

Wat moet er in een bewerkersovereenkomst staan?

Om invulling te geven aan uw verantwoordelijkheid ten aanzien van (sub)bewerkers, is het van belang een bewerkersovereenkomst op te stellen waarin onder meer de volgende punten opgenomen zijn (niet-limitatief):

  • Wie beoordeelt of het datalek meldingsplichtig is?
  • Aan wie maakt de bewerker melding van een datalek?
  • Binnen welke termijn moet de bewerker het datalek melden?
  • Mag de bewerker sub-bewerkers inschakelen?
  • Hoe moet de overeenkomst tussen de bewerker en sub-bewerker eruit zien?
  • Heeft u het recht om de beveiliging van de bewerker te (laten) inspecteren?

Bewerkersovereenkomst is een verantwoordingsdocument

Door in de bewerkersovereenkomst aandacht te schenken aan bovenstaande zaken zorgt u er als verantwoordelijke voor dat u een verantwoordingsdocument heeft wanneer er een datalek niet tijdig gemeld wordt. U kunt dan aantonen dat u, door gebruik te maken van de bewerkersovereenkomst, passende maatregelen heeft getroffen en u niets te verwijten valt.

Sub-bewerker inschakelen

In het kader van de ketenaansprakelijkheid is het aan te bevelen in de bewerkersovereenkomst op te nemen of uw bewerker een sub-bewerker mag inschakelen. Deze partij kan immers ook betrokken zijn bij het verwerken van uw persoonsgegevens. Om te kunnen voldoen aan de wettelijke vereisten en verantwoording af te kunnen leggen dat u, ook ten aanzien van uw bewerkers passende maatregelen heeft getroffen, is het dus zaak te komen tot de bewerkersovereenkomst. Op die manier kunt u met een gerust hart blijven doen waar u goed in bent. Uiteraard kunt u vrijblijvend contact opnemen voor vragen of het laten opstellen van een bewerkersovereenkomst.

Wilt u de betrouwbaarheid van uw IT-systemen toetsen? Kijk dan hier.