ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: ons bedrijf maakt (natuurlijk) veel gebruik van ict-diensten van derden. We kopen software in, gebruiken SaaS en hosten data bij derden. Wanneer zijn deze leveranciers nu bewerkers in de zin van de Wet bescherming persoonsgegevens (Wbp)?

Antwoord: wanneer je persoonsgegevens laat verwerken door een ander in jouw opdracht, is die ander een bewerker. Het juridisch criterium van 'opdracht' is of jij doel en middelen vaststelt van het verwerken.

De eerste vraag is dus of die leverancier iets doet met persoonsgegevens. Een leverancier die je enkel een pakket software levert (on-premise installatie), verwerkt geen gegevens. Dat doe je zelf. Die leverancier is dus geen bewerker.

Een leverancier die een dienst levert waarbinnen persoonsgegevens worden gebruikt, is normaal wel een bewerker. Denk aan een hosted CRM-systeem: je slaat dan klantgegevens op bij de beheerder daarvan. Die is dus een bewerker. (Dit geldt ook bij een app-leverancier die gegevens opslaat bij zijn eigen server. Die app is weliswaar on-premise, maar de server is gewoon een dienst.)

SaaS-diensten en opslagdiensten vereisen dus een bewerkersovereenkomst als er persoonsgegevens worden opgeslagen.

Een uitzondering geldt als de dienstverlener niet bij de feitelijke persoonsgegevens kan. Denk aan een versleuteldebackupdienst waarbij je zelf als enige de sleutel hebt. De versleutelde data telt dan niet als persoonsgegevens, en dus is de dienstverlener geen bewerker.

Twijfelachtig wordt het als de leverancier er wel bij kán maar dat niet mág. Denk aan een externe systeembeheerder met wie je afspreekt dat hij alleen met aparte toestemming mappen met persoonsgegevens opent. Als je dat niet óók technisch blokkeert, dan kan hij erbij. Je kunt hem dan zien als een bewerker (want hij handelt in jouw opdracht, je hebt hem ingehuurd en onder voorwaarden mag hij erbij).

Als iemand een bewerker is, moet er een bewerkersovereenkomst komen. Die legt vast welke plichten de bewerker heeft en hoe de verantwoordelijke daarop toe mag zien. En, sinds 2016, ook hoe je omgaat met datalekken en vooral wie de boetes betaalt die daarvan het gevolg kunnen zijn. Zonder bewerkersovereenkomst blijft dat sowieso liggen bij de verantwoordelijke.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.