Casus Bewerkersovereenkomst verheldert verantwoordelijkheden qua privacy(Publicatie)

Onderwijsinstellingen en de leveranciers waarmee ze zakendoen, verwerken vaak persoonsgegevens. De wet- en regelgeving hierover is complex en is continu in beweging – denk aan de meldplicht datalekken die sinds 2016 geldt. SURF helpt instellingen bij hun verplichtingen op dit gebied, onder meer met een nieuwe modelbewerkersovereenkomst.

download
09 MEI 2017

Herziening juridisch normenkader

Evelijn Jeunink is corporate privacy officer bij SURF. Ze heeft in haar werk veel te maken met regelgeving over privacygevoelige gegevens: “In 2016 hebben we het juridisch normenkader herzien. Dat biedt richtlijnen over vertrouwelijkheid, privacy, eigendom en beschikbaarheid van gegevens voor overeenkomsten met leveranciers van clouddiensten. De herziening was nodig door de ongeldigverklaring van Safe Harbor en de nieuwe meldplicht datalekken. Daarnaast vroegen universiteiten en hogescholen om duidelijke afspraken over het omgaan met persoonsgegevens. Veel instellingen zien die afspraken het liefste in de vorm van een zogenoemde bewerkersovereenkomst.

Nieuwe modelbewerkersovereenkomst

Het belangrijkste resultaat van de herziening van het normenkader is de nieuwe modelbewerkersovereenkomst, aldus Evelijn: “Die overeenkomst legt de afspraken vast tussen een verantwoordelijke – meestal een onderwijsinstelling – en een bewerker – een leverancier die een dienst of product aanbiedt waarin persoonsgegevens worden verwerkt. We voegen een bijlage toe waarin partijen heel precies kunnen specificeren wat ze doen met bepaalde persoonsgegevens.” Olga Scholcz, juridisch adviseur bij SURF, vult aan: “Instellingen hebben niettemin nog steeds een duidelijke eigen verantwoordelijkheid. Zij en de leverancier tekenen immers uiteindelijk de bewerkersovereenkomst.”

Compliance statement

Een belangrijke toevoeging aan de bewerkersovereenkomst is het compliance statement. “Dat moet zo goed mogelijk inzichtelijk maken wat een leverancier wel en niet te bieden heeft op het gebied van privacy”, legt Evelijn uit. “Het laat zien welk resultaat SURFmarket in de onderhandelingen met een leverancier heeft bereikt. De instelling bepaalt dan zelf of dat voldoende is. Alleen als de leverancier zich volledig aansluit bij de bewerkersovereenkomst is geen compliance statement nodig.”

Instellingen betrokken

Een juridische commissie ingesteld door SURF speelt een grote rol bij de ontwikkeling en vaststelling van het juridisch normenkader en de modelbewerkersovereenkomst. In die commissie zitten juristen en privacy & security officers van de instellingen.

Aantal keren bekeken:
813
Laatste wijziging op 09 mei 2017