Algemene Verordening Gegevensbescherming

Privacy: Nog 8 maanden voorbereidingstijd voor de AVG. Aan de slag met verwerkersovereenkomsten!

Gemeenten hebben vanaf 25 september 2017 nog 8 maanden voorbereidingstijd voor de Algemene Verordening Gegevensbescherming (AVG) van kracht is. VNG en KING bieden gemeenten een ondersteuningspakket om gemeenten gericht te ondersteunen bij de voorbereidingen. Tot en met mei 2018 ontvangen gemeenten iedere maand via de website van KING gerichte acties die ze kunnen ondernemen om zeker te stellen dat de organisatie klaar is voor de AVG.

Heeft u waar dat nodig is verwerkersovereenkomsten afgesloten?

Bij de dienstverlening en bedrijfsvoering van gemeenten worden persoonsgegevens verwerkt. De gemeentelijke dienstverlening is een integraal onderdeel van procesketens, zoals bijvoorbeeld op het gebied van de jeugdzorg, maatschappelijke ondersteuning, werk en inkomen, de registratie van personen, gebouwen en adressen en de uitgifte van persoonsdocumenten. Gemeenten werken als meest nabije overheidslaag bij de uitvoering van hun taken ook veelvuldig samen met andere overheidsorganisaties, semioverheidsorganisaties en bedrijven. Bij de verwerking van persoonsgegevens door derden is het van belang en zelfs wettelijk verplicht de afspraken en verantwoordelijkheden hieromtrent vast te leggen. Deze afspraken worden vastgelegd in een zogenaamde verwerkersovereenkomst.

Bij het opstellen van een verwerkersovereenkomst zijn verschillende belangen gemoeid waarbij risico’s en aansprakelijkheid op een redelijke wijze moeten worden toegewezen aan de verschillende partijen.

De Informatiebeveiligingsdienst (IBD) heeft een model verwerkersovereenkomst (PDF, 1,17 MB) opgesteld dat gemeenten een handvat biedt en een uitgangspunt om de eigen specifieke verwerkersovereenkomst vorm te geven.

Deze verwerkersovereenkomst is gebaseerd op het gemeenschappelijke normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

De IBD heeft tevens een factsheet uitgebracht over verwerkersovereenkomsten (PDF, 394 kB). Deze factsheet geeft antwoord op de vraag wanneer er wel en wanneer er geen verwerkersovereenkomst noodzakelijk is. Het document bevat een groot aantal voorbeelden van situaties die in de gemeente kunnen voorkomen.

Tip van de maand: Gebruik het register van verwerkingen om de verwerkersovereenkomsten in kaart te brengen

Als het goed is bent u bezig met het opstellen en invullen van een register van verwerkingen. In dit register wordt overzichtelijk gemaakt welke applicaties, verwerkers en verantwoordelijken er zijn per verwerking. Hiermee krijgt u inzicht in de verwerkingen waar verwerkersovereenkomsten voor nodig zijn, welke bijna aflopen, en voor welke verwerkingen al afspraken zijn gemaakt. Gebruik het register om systematisch inzicht te krijgen in alle verwerkersovereenkomsten die opgesteld zijn binnen de gemeenten, en om het gesprek aan te gaan bij nieuwe verwerkersovereenkomsten.

Veelgestelde vragen over dit onderwerp

Wanneer bent u een verwerker of een verwerkersverantwoordelijke?

Als een verwerkingsverantwoordelijke aan een andere partij persoonsgegevens verstrekt om deze te blijven verwerken waarbij de gegevens nooit van de ander worden, dan is die andere partij een verwerker. Van belang is dat die ander daarbij dus middelen ter beschikking stelt waarmee de verwerkingsverantwoordelijke haar werkzaamheden kan blijven uitvoeren. Een typisch voorbeeld is een leverancier van zogenaamde software-as-a-service (SaaS) of hostingprovider. 

Als een verwerkingsverantwoordelijke aan een andere partij persoonsgegevens verstrekt zodat die andere partij een product of een dienst kan leveren aan een betrokkene, dan is die andere partij zelf verwerkingsverantwoordelijke. De leverancier van het product of de dienst stelt zelf namelijk het doel en de middelen vast voor de verwerking van de persoonsgegevens die hij ontvangt van de opdrachtgever voor het leveren van een product of een dienst aan betrokkene. 

Is een verwerkersovereenkomst nodig wanneer beide partijen verwerkersverantwoordelijke zijn?

We hebben hier te maken met partijen die ten opzichte van elkaar verwerkingsverantwoordelijke zijn. Er is hiervoor geen verwerkersovereenkomst nodig. Omdat in het geval van een gezamenlijke verantwoordelijkheid het soms onduidelijk kan zijn wie wanneer precies waarvoor verantwoordelijk is, kan het raadzaam zijn om daar wel iets over op te schrijven. Dit is wettelijk niet verplicht. Toch beveelt VNG KING wel aan om in dergelijke gevallen afspraken te maken over de condities waaronder welke gegevens worden gedeeld. Over het algemeen kan dat gewoon in een inkoop- of leveringsovereenkomst, maar het kan feitelijk op iedere mogelijke manier opgeschreven worden.

Wilt u deze tips per e-mail ontvangen? Stuur dan een e-mail aan privacy@KINGGemeenten.nl.