De bewerkersovereenkomst: verplichte kost, ook bij marktonderzoek!

29 maart 2016

De aanpassingen in de Wet Bescherming Persoonsgegevens (Wbp) begin dit jaar hebben er voor gezorgd dat veel bedrijven hun processen weer eens onder de loep nemen.

Bij het uitvoeren van marktonderzoek onder klanten worden ook vaak persoonsgegevens verwerkt. Bijvoorbeeld wanneer een opdrachtgever een bestand met email adressen van klanten oplevert aan een marktonderzoekbureau en opdracht geeft om deze klanten uit te nodigen voor een onderzoek. 

Wat veel opdrachtgevers niet weten is dat in dit geval artikel 14 van de Wbp het volgende voorschrijft: 

De bewerkersovereenkomst 
1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen. 
2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.

Wat betekent dit voor marktonderzoek? 
Als een opdrachtgever onderzoek laat uitvoeren door een bureau, en opdrachtgever als onderdeel van dat onderzoek persoonsgegevens laat bewerken door dat bureau, dan…. 

  • Blijft de opdrachtgever verantwoordelijk om ervoor te zorgen dat die persoonsgegevens veilig worden opgeslagen en gebruikt door het ingeschakelde bureau
  • Is een overeenkomst of andere vorm van afspraak tussen opdrachtgever en bureau verplicht. In deze overeenkomst is vastgelegd op welke manier de persoonsgegevens worden verwerkt.

Wie doet wat? 
Eigenlijk zou de opdrachtgever, als wettelijke Verantwoordelijke voor de gegevensbewerking, het initiatief voor het opstellen van de bewerkersovereenkomst moeten nemen. Wanneer een marktonderzoekbureau bij aanvang van een onderzoek voorstelt een bewerkersovereenkomst op te stellen, dan is dit dus niet om zich in te dekken voor eventuele risico’s. Het getuigt enkel van kennis en naleving van de privacywetgeving! Wie het initiatief neemt, maakt dus eigenlijk niet uit. Wat belangrijk is, is dat duidelijke afspraken zijn gemaakt over welke gegevens worden bewerkt, voor welke doeleinden, en hoe lang deze gegevens op een veilige manier worden gebruikt en opgeslagen, voordat de persoonsgegevens worden gebruikt. 

Blauw heeft een standaard bewerkersovereenkomst opgesteld in samenwerking met een specialist op het gebied van privacywetgeving zodat uw onderzoeken geen vertraging hoeven op te lopen wanneer er nog geen overeenkomst ligt. 

Neem voor meer informatie contact op met onze Privacy Officer Ivo Langbroek 010-4000900.