Artikel: 'De meldplicht datalekken: de bewerkersovereenkomst'

De Autoriteit Persoonsgegevens (AP) heeft beleidsregels opgesteld voor het toepassen van artikel 34a Wet bescherming persoonsgegevens. Zij verlangt in de beleidsregels van de verantwoordelijken en hun bewerkers dat zij onderling met elkaar over een aantal onderwerpen afspraken gaan maken. De reden is dat het nieuwe artikel 34a Wbp geen nadere voorschriften bevat over hoe de verantwoordelijke en de bewerker met elkaar moeten omgaan met betrekking tot een datalek. De kernvraag in dit artikel is wat de betekenis van de bewerkersovereenkost is met het oog op het afhandelen van een datalek conform de normen opgenomen in artikel 34a Wbp.

Deze vraag naar compliancy leidt tot de volgende subvragen: a) In hoeverre kun je met contractsbepalingen in de bewerkersovereenkomst de aansprakelijkheid van verantwoordelijke en bewerker op basis van de leer van de toerekenbare tekortkomingen inhoud geven? b) Wat is de betekenis van de bijlagen bij de bewerkersovereenkomst? Dit, ervan uitgaande dat in de bijlagen afspraken zijn opgenomen over de uitvoering van de wettelijke meldplicht datalekken. Betoogd wordt dat het succesvol nakomen van de wettelijke verplichting in sterke mate afhankelijk is van het gaan werken met een van tevoren bedacht proces Meldplicht datalekken door de verantwoordelijke in overleg met zijn bewerker. Bestudering van de AP leert dat de opgenomen en geïllustreerde vraagstructuren niet het karakter van procesactiviteiten binnen een organisatie en tussen organisaties hebben. Tevens ontbreekt in de beleidsregels de uitwerking van een aantal onderwerpen.

Lees verder:

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF