Nieuw contract voor datalek bij uitbesteding
De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft onlangs een nieuw model voor de zogenoemde bewerkersovereenkomst gepubliceerd. Dit is het contract dat wordt opgesteld als een accountant bijvoorbeeld de salaris- of de financiële administratie voor uw organisatie verzorgt. In deze overeenkomst worden onder andere de taken uit de Wet meldplicht datalekken vastgelegd.
Als uw organisatie persoonsgegevens uit de administratie verliest, moet dit volgens de Wet meldplicht datalekken gemeld worden aan de Autoriteit Persoonsgegevens én in sommige situaties moet u dit ook aan de betrokkenen melden (tool). Een datalek kan een hack zijn, maar ook iets kleins zoals het verliezen van een usb-stick. Als uw organisatie administratieve taken door een accountant laat verzorgen, neemt hij de verantwoordelijkheden uit de Wet meldplicht datalekken over. In dat geval moeten er in een bewerkersovereenkomst afspraken worden gemaakt over de verantwoordelijkheden bij een datalek (tool).
Een bewerkersovereenkomst is niet altijd nodig
Voor het opstellen van de bewerkersovereenkomst kan uw organisatie het onlangs gepubliceerde modelcontract van de NBA gebruiken. In dit modelcontract zijn ook afspraken over een aantal andere onderwerpen opgenomen. Binnenkort publiceert de NBA modelafspraken. Als de accountant alleen persoonsgegevens verwerkt, is hij verantwoordelijke. In dit geval is een bewerkersovereenkomst niet nodig. De standaarden uit de onderstaande tabel geven aan of er sprake is van een bewerker.