Rina Steenkamp - Privacy en technologie

Mijn geannoteerde Wbp

Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens

Paragraaf 1. De verwerking van persoonsgegevens in het algemeen

Artikel 14 [Waarborgen bij verwerking door een bewerker]

Artikel 14

  1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.
  2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.
  3. De verantwoordelijke draagt zorg dat de bewerker
    1. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en
    2. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.
  4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b.
  5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.

Richtlijn 95/46/EG

Artikel 17 lid 2 (artikel 14 lid 1 Wbp)

2. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen.

Artikel 17 lid 3 (artikel 14 lid 2 Wbp)

3. De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerker verantwoordelijke en waarin met name wordt bepaald dat

- de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke,

- de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de Lid-Staat waarin de verwerker is gevestigd, eveneens op deze persoon rusten.

Artikel 17 lid 4 (artikel 14 lid 3 Wbp)

4. Met het oog op de bewaring van de bewijzen, worden de elementen van de overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd.

Memorie van Toelichting

Voor de verschillen tussen de WPR en het wetsvoorstel wat betreft het bewerkerschap, zij verwezen naar de toelichting op artikel 1, onder e. De tweede volzin van artikel 8 WPR, is in het onderhavig wetsvoorstel uitgewerkt in een aparte bepaling. De strekking van de bepaling is te voorkomen dat bij eventuele tekortkomingen in de gegevensverwerking, verantwoordelijke en bewerker zich wat betreft hun verantwoordelijkheden achter elkaar zouden kunnen verschuilen. De verplichtingen moeten over en weer duidelijk zijn neergelegd. Op de verantwoordelijke rust een zorgplicht daarvoor zorg te dragen. Niet alleen dient hij civielrechtelijk de bewerker voldoende te hebben duidelijk gemaakt hoe met de persoonsgegevens wordt omgegaan, tevens dient hij toe te zien op de feitelijke naleving van de aldus gecreëerde verplichtingen.
Het tweede en derde lid maken duidelijk dat het om juridisch bindende voorschriften moet gaan: bindend in de zin dat de bewerker jegens de verantwoordelijke datgene waartoe de verantwoordelijke vanuit zijn verantwoordelijkheid verplicht is, ook als zijn eigen verplichting op zich neemt. Onderdeel a verwijst in het voetspoor van het advies van de Registratiekamer naar artikel 12, eerste lid. Het bepaalt dat de verantwoordelijke ervoor zorg draagt dat de bewerker handelt overeenkomstig die bepaling. Daardoor is de wettelijke verplichting tevens een verbintenis jegens de verantwoordelijke.
De overeenkomst tussen de verantwoordelijke en de bewerker moet naar zijn aard betrekking hebben op de gegevensverwerking. Het contract mag niet betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts een uitvloeisel van is. Het tweede en derde lid kunnen tot consequentie hebben dat lopende contracten en andere rechtsverhoudingen als in dit artikel bedoeld, herziening behoeven. Het vierde lid geeft uitvoering aan artikel 17, derde lid, tweede liggende streepje van de richtlijn, voor zover daarin is bepaald dat wanneer de bewerker is gevestigd in een andere lid-staat van de Europese Unie, het recht van het land van vestiging van toepassing is. Deze bepaling is noodzakelijk in het licht van de interne markt, ook op het gebied van bewerkerscontracten, zonder handelsbelemmeringen.

Het vijfde lid stelt het bewijs veilig waaruit van de verplichtingen van de bewerker blijkt. Het kan niet gaan om mondelinge afspraken. De ratio is dat de betrokkene als een soort impliciete derde belanghebbende, in geval jegens hem onrechtmatig wordt gehandeld, over de nodige bewijsstukken kan beschikken wanneer deze overeenkomstig de regels van het procesrecht een rol gaan spelen. Klassiek zou daartoe een schriftelijke neerslag van de afspraken, van belang kunnen zijn. In de toekomstige informatiemaatschappij zijn ook andere, gelijkwaardige vormen van gegevensopslag denkbaar, bij voorbeeld door tussenkomst van personen die zich als een soort «elektronische notaris» op de markt aanbieden wat betreft de zekerstelling van gewisselde gegevens en alles wat daarmee samenhangt.

[MvT, pagina 99-100]

Menu | Mijn geannoteerde Wbp | Hoofdstuk 2, Paragraaf 1 | Terug | Verder | Externe links | Meta | Contact | English

Al het oorspronkelijke werk op deze website © 2007-2011 Rina Steenkamp.