4.2. Afspraken in de bewerkersovereenkomst
De verantwoordelijke stelt vast welke beveiligingsmaatregelen de bewerker moet treffen om aan de betrouwbaarheidseisen te voldoen en op welke wijze de verantwoordelijke toeziet op naleving.
De afspraken hierover legt hij vast in de overeenkomst met de bewerker.
“[De verantwoordelijke] draagt zorg dat [de bewerker] voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.”
102
“De verantwoordelijke draagt zorg dat de bewerker de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.”
103
“De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.”
104
“Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.”
105
Bij de beoordeling hanteert het CBP de volgende uitgangspunten:
•
Beveiligingseisen in de bewerkersovereenkomst
106
Er is een bewerkersovereenkomst waarin alle relevante afspraken zijn vastgelegd over de beveiligingsmaatregelen die de bewerker moet treffen en over de wijze waarop de verantwoordelijke toeziet op naleving.
•
Differentiatie van de verwerkte persoonsgegevens
107
Het kan voorkomen dat niet alle persoonsgegevens die de bewerker verwerkt even gevoelig zijn en dat niet voor alle verwerkte persoonsgegevens dezelfde afspraken van toepassing zijn. In de bewerkersovereenkomst is in dergelijke gevallen vastgelegd welke afspraken van toepassing zijn op welke persoonsgegevens.