Het KVGO heeft in samenwerking met het Dienstencentrum twee modelovereenkomsten gemaakt in geval er sprake is van het uitbesteden van de verwerking van persoonsgegevens binnen de Europese Economische Ruimte. Eén voor u indien u ‘Verantwoordelijke’ bent en één indien u ‘Bewerker‘ bent in de zin van de Wet bescherming persoonsgegevens (Wbp).
De Wbp is van toepassing op het verwerken van persoonsgegevens. In de Wbp staat onder andere wat persoonsgegevens zijn, wanneer u deze wel of niet mag verwerken, wat u moet doen indien u de verwerking van persoonsgegevens uitbesteedt aan derden of u ‘Verantwoordelijke’ dan wel ‘Bewerker’ bent, welke rechten personen hebben waarvan u de persoonsgegevens verwerkt, wat uw verplichtingen zijn als u een datalek vaststelt.
Wat een en ander inhoudt kunt vinden op de website van de Autoriteit persoonsgegevens.
Een snelle uitleg van de Wbp en de meldplicht over datelekken zijn te vinden op onderstaande links.
Van belang is te weten dat op 28 mei 2018 de algemene verordening gegevensbescherming (EU) 2016/679 (AVG) in werking treedt. De bepalingen van de AVG zijn vanaf die datum rechtstreeks geldend in Nederland (en de andere EU-landen).
De meeste bepalingen van de Wbp komen hierdoor te vervallen. De Wbp kan hooguit wat aanvullende bepalingen bevatten. In de tweede helft van 2017 zal daarover meer duidelijkheid zijn. (De Nederlandstalige versie van de AVG die gepubliceerd is in het Publicatieblad van de EU van 4 mei 2016 bevat fouten die met een wijziging zal worden rechtgezet).
Voor zover dat nodig is zullen de modelbewerkersovereenkomsten begin 2018 worden aangepast aan de bepalingen van deze algemene verordening gegevensbescherming.
De Modelovereenkomsten
De modellen zijn opgesteld omdat bij overeenkomsten waarbij ook sprake is van het uitbesteden van de verwerking van persoonsgegevens aan een derde dit in een afzonderlijke overeenkomst moet zijn geregeld. Het contract mag geen betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts een uitvloeisel van is.
Europese Economische Ruimte
De modelovereenkomsten kunnen alleen gebruikt worden indien de verwerkingen binnen de Europese Economische Ruimte plaats vindt. Deze landen hebben namelijk de Europese privacyrichtlijn omgezet in hun wetgeving en hebben daardoor een gelijkwaardig beschermingsniveau (In 2016 bestaat de EER uit lidstaten van de EU: België; Bulgarije; Cyprus; Denemarken; Duitsland; Estland; Finland; Frankrijk; Griekenland; Hongarije; Ierland; Italië; Kroatië; Letland; Litouwen; Luxemburg; Malta; Nederland; Oostenrijk; Polen; Portugal; Roemenië; Slovenië; Slowakije; Spanje; Tsjechië; Het Verenigd Koninkrijk (Engeland, Schotland, Wales en Noord-Ierland) en Zweden en daarnaast de niet-lidstaten: Liechtenstein, Noorwegen en IJsland.)
Indien u persoonsgegevens wil laten verwerken buiten de EER dient u na te gaan of dit is toegestaan en/of u daarvoor afzonderlijke toestemming voor nodig heeft en welke aanvullende bepalingen u dient op te nemen die per land kunnen verschillen. Voor meer informatie klik op de link: Internationaal gegevensverkeer.
Downloaden?
De modelovereenkomsten zijn – exclusief voor KVGO-leden – hier te downloaden.
Meer weten?
Bel Maarten Reuderink van het KVGO, tel. 020 543 56 78.