Menu
JPR Advocaten

Bewerkersovereenkomst voorkomt boete

Geschreven op 9 juni 2016  •  Auteur: Pascal Hulsegge
Bewerkersovereenkomst voorkomt boete

Volgens artikel 14 van de Wet bescherming Persoonsgegevens bent u als ondernemer verplicht om afspraken schriftelijk vast te leggen met een bewerker als u de verwerking van persoonsgegevens uitbesteedt.

Bewerkersovereenkomst en Privacyverordening

Op 4 mei 2016 zijn de wetteksten van de Privacyverordening en de Richtlijn in het Publicatieblad van de Europese Unie gepubliceerd. Op 6 mei 2018 moeten de EU-lidstaten de Richtlijn hebben omgezet in nationale wetgeving en vanaf 25 mei 2018 is de Privacyverordening van toepassing.

Net als de Wet bescherming Persoonsgegevens schrijft ook de Privacyverordening het gebruik van bewerkersovereenkomsten voor wanneer ervoor wordt gekozen de verwerking van persoonsgegevens uit te besteden. De Privacyverordening gaat echter verder dan de Wet bescherming Persoonsgegevens. Wanneer u op dit moment geen bewerkersovereenkomst heeft gesloten, kan er geen boete conform artikel 66 Wet bescherming Persoonsgegevens worden opgelegd. Wel kan de Autoriteit Persoonsgegevens een last onder dwangsom opleggen.

Vanaf 25 mei 2018 is dat anders. In de Privacyverordening staan niet alleen regels waaraan de bewerkersovereenkomst moet voldoen. Er staat ook in dat er een boete kan worden opgelegd indien u geen bewerkersovereenkomst heeft gesloten. In artikel 83 van de Privacyverordening staat dat een boete van maximaal 10.000.000 euro of 2% van de wereldwijde omzet kan worden opgelegd. Kortom: reden genoeg om aan de regels te voldoen.

Inhoud bewerkersovereenkomst

In de bewerkersovereenkomst dienen volgens de Privacyverordening de volgende punten in ieder geval te worden opgenomen:

  • de duur en de specifieke doeleinden van de gegevensverwerking;
  • de vertrouwelijkheid dient gewaarborgd te worden;
  • beveiligingsverplichtingen en audits;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de betrokkenen op wie de gegevens zien;
  • vernietiging gegevens na de contractduur.


Bovendien mag de bewerker voortaan niet meer, zonder voorafgaande toestemming van de verantwoordelijke, een externe partij inschakelen om persoonsgegevens te verwerken.

Verder bepaalt de Privacyverordening dat de bewerkersovereenkomst schriftelijk of in elektronische vorm moet zijn vastgelegd.

Tot slot kan de Autoriteit Persoonsgegevens volgens de verordening modelovereenkomsten en/of modelbepalingen voor een bewerkersovereenkomst opstellen. De kans is aanwezig dat de Autoriteit Persoonsgegevens op korte termijn bepalingen op haar website plaatst. Tot dat moment kunt u natuurlijk bij de advocaten van JPR terecht voor een goede bewerkersovereenkomst.

Conclusie: anticipeer tijdig!

Vanaf mei 2018 dient u als verantwoordelijke of als bewerker in geval van verwerking van persoonsgegevens een bewerkersovereenkomst te hebben gesloten. Het is dus zaak tijdig te anticiperen op de Privacyverordening en goede bewerkersovereenkomsten te sluiten om boetes in de toekomst te voorkomen. Want voor je het weet is het mei 2018!


Pascal Hulsegge
Mr. P. Hulsegge

Pascal Hulsegge is advocaat bij JPR Advocaten in Deventer en werkzaam in het Arbeidsrecht en Ondernemingsrecht. Haar specialisaties binnen deze rechtsgebieden zijn: CAO-recht, medezeggenschap, individueel- en collectief ontslag en intellectueel eigendom. Pascal is sinds 2005 actief als advocaat.

Contact opnemen met JPR

Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: