PRIVACY - 13.09.2016

Een bewerkersovereenkomst voor uw accountant?

Sinds dit jaar kennen we de Wet meldplicht datalekken. Als u persoonsgegevens bij een ander onderbrengt, bijv. uw personeelsgegevens bij uw boekhouder, moet u zorgen voor goede afspraken. Welke afspraken moet u zeker maken?

Nieuwe wet

Als u wordt gehackt. Sinds 1 januari 2016 moet u rekening houden met de Wet meldplicht datalekken. Deze wet geeft regels voor het geval dat uw computersysteem wordt gehackt. Wat moet u dan doen?

  1. persoonsgegevens. Om te beginnen moet u vaststellen of de hacker toegang heeft gehad tot persoonsgegevens.
  2. risico op ‘diefstal’. Stel vast of er een risico is op onrechtmatige verwerking door de hacker.
  3. check de gevolgen. Controleer wat de nadelige gevolgen voor de privacy van de betrokken personen zijn.

Personeelsadministratie uitbesteed?

Gegevens bij een ander? In de praktijk hebben veel werkgevers hun loonadministratie uitbesteed, vaak aan hun boekhouder, hun accountant of aan een loonadministratiekantoor. In dat geval is de boekhouder, accountant of loonadministrateur de bewerker. Let op. Ook als u de gegevens bij een ander onderbrengt, blijft u verantwoordelijk voor deze gegevens.

Als verantwoordelijke moet u melden. Als verantwoordelijke moet u een datalek direct (de wet zegt: onverwijld) melden conform de ‘Beleidsregels meldplicht datalekken’:

  • binnen 72 uur; en
  • in ieder geval aan de Autoriteit Persoonsgegevens en in sommige gevallen aan de betrokkene.

Download de ‘Beleidsregels meldplicht datalekken’ van http://tipsenadvies-personeel.nl/download (PS 21.19.03).

Wat opnemen in de overeenkomst?

Bewerkersovereenkomst. Als u uw gegevens bij een ander heeft ondergebracht, legt u in een bewerkersovereenkomst de afspraken vast over de manier waarop de bewerker omgaat met de persoonsgegevens. Wat moet u in ieder geval opnemen in zo’n overeenkomst?

  • leg vast dat de bewerker een lek direct moet melden conform de beleidsregels;
  • leg vast dat de bewerker het lek niet zelf mag melden bij de Autoriteit Persoonsgegevens en eventueel bij de betrokkenen. Spreek af dat u het lek zelf meldt bij de Autoriteit Persoonsgegevens. Op die manier houdt u zelf de regie;
  • spreek af wie er aansprakelijk is als een datalek niet of niet op tijd wordt gemeld. Niet (tijdig) melden kan u immers op hoge boetes komen te staan;
  • spreek af dat de bewerker het datalek direct en op eigen kosten repareert en dat u daarover duidelijk en transparant wordt geïnfor-meerd;
  • besteedt uw bewerker bepaalde zaken uit aan een subbewerker (zoals de salarisadministrateur die de belastingaangifte door een ander laat doen), neem dan een zogenaamde ‘kettingbepaling’ op waarmee u de afspraken met uw bewerker doorlegt op de subbewerkers. Op die manier zorgt u ervoor dat zij zich ook aan de afspraken moeten houden die u met uw administrateur heeft gemaakt.

Het belang is groot. Boetes bij datalekken kunnen oplopen tot € 820.000,-. Het is dus van groot belang om de zaken goed te regelen.

Als ondernemer bent u verantwoordelijk voor de data die binnen uw bedrijf worden verwerkt, dus ook voor de personeelsgegevens. Dat geldt ook als u deze administratie bij een ander onderbrengt, zoals bij uw loonadministrateur. Maak goede afspraken over wie er meldt, wie aansprakelijk is en wie het lek moet dichten.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01