Op 25 mei jl. is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Wij hebben u eerder geïnformeerd over het aanstellen van een Functionaris Gegevensbescherming. In dit bericht willen wij u verder informeren over de plicht om afspraken te maken met partijen die persoonsgegevens van de rekenkamer(commissie) verwerken.[1]
De AVG verplicht alle organisaties in Europa om op een goede wijze met hun persoonsgegevens om te gaan. Niet meer persoonsgegevens bewaren dan nodig, goed beveiligen en persoonsgegevens alleen gebruiken voor zaken waar een wettelijke grondslag voor bestaat, zijn hier onderdeel van.
Deze verplichtingen gelden ook als gegevens aan een andere partij in beheer worden gegeven, of als een andere partij toegang krijgt tot persoonsgegevens. In dat geval moet de Verwerkingsverantwoordelijke[2] (degene van wie de persoonsgegevens zijn) schriftelijke afspraken maken met de andere partij, de Verwerker. Deze afspraken worden vastgelegd in een Verwerkersovereenkomst.
Omdat de rekenkamer(commissie) een Verwerkingsverantwoordelijke is in de zin van de AVG bent u verplicht om een Verwerkersovereenkomst te sluiten als u de persoonsgegevens door een ander laat verwerken.
Met dit bericht en de modellen (zie onderaan deze pagina) geven wij een handreiking voor het sluiten van Verwerkersovereenkomsten met externe partijen.
Wat wordt geregeld in de Verwerkersovereenkomst?
In de Verwerkersovereenkomst moet in ieder geval worden geregeld[3]:
Daarnaast maken partijen in veel gevallen afspraken over de (beperking van) aansprakelijkheid.
Verwerkersovereenkomsten van leveranciers
Levert de leverancier een Verwerkersovereenkomst aan? Beoordeel deze dan op de bovengenoemde punten. Let in het bijzonder op:
Wanneer wel een Verwerkersovereenkomst en wanneer niet?
Het op orde brengen van Verwerkersovereenkomsten is soms ingewikkeld. Niet met alle partijen die persoonsgegevens van u ontvangen hoeft namelijk een Verwerkersovereenkomst te worden gesloten.
Partijen zijn met deze informatie snel geneigd om met alle partijen aan wie zijn gegevens ter beschikking stellen Verwerkersovereenkomsten te sluiten. Dit is niet in alle gevallen nodig.
Een externe partij kan namelijk ook “ontvanger” zijn van persoonsgegevens in plaats van Verwerker. Denk aan de rekenkamer die gegevens van leden of medewerkers verstrekt aan een opleidingsinstituut ten behoeve van een te volgen opleiding. Het opleidingsinstituut heeft de gegevens nodig voor haar dienstverlening (het bieden van een opleiding/training aan de leden of medewerkers en wellicht het verstrekken van een certificaat of diploma). Het opleidingsinstituut is hiermee zelfstandig verantwoordelijk.
Omdat de ontvanger zelfstandig verantwoordelijk is en dus niet handelt op instructie van de Verwerkingsverantwoordelijke hoeft er geen Verwerkersovereenkomst te worden gesloten.
Ook met externen hoeft niet altijd een Verwerkersovereenkomst te worden gesloten. Als stagiaires, uitzendkrachten, payroll-medewerkers of gedetacheerde krachten feitelijk meewerken als medewerkers op de infrastructuur van de Verwerkingsverantwoordelijke, dan is er sprake van “intern beheer”. Een Verwerkersovereenkomst is dan niet nodig.
ZZP’ers en andere dienstverleners worden vaak aangemerkt als Verwerker. Met hen moet een Verwerkersovereenkomst worden gesloten. In sommige gevallen kan er sprake zijn van “intern beheer”. Twijfelt u of u een Verwerkersovereenkomst met sluiten met een partij? Ga dan in overleg met die partij om de positie ten opzichte van elkaar vast te stellen. Documenteer de overwegingen waarom er uiteindelijk wel- of geen Verwerkersovereenkomst is gesloten. Bij dit bericht is tevens een model-Verwerkersovereenkomst toegevoegd voor dergelijke situaties.
De Verwerkersovereenkomst met de gemeente
In veel gevallen zal de rekenkamer(commissie) gebruik maken van de ICT-infrastructuur van de gemeente waarvoor zij werkzaam is. In dat geval is de gemeente een Verwerker. Maakt u gebruik van een professionele/zelfstandige ICT-dienstverlener, dan kunt u ook de Verwerkersovereenkomst van de dienstverlener opvragen en toetsen.
Bijgevoegde modellen
Bijgaand vindt u:
[1] Iedere handeling met een persoonsgegeven is een verwerking. Dus denk aan: Opslaan, aanpassen, controleren, verwijderen, enz.
[2] Juridisch gezien: degene die het doel en de middelen van de verwerking bepaalt
[3] artikel 28 lid 3 AVG
Telefoon: 085 - 225 02 75
E-mail: info@nvrr.nl
Start live-chat
In het kader van onze dienstverlening verwerken wij persoonsgegevens.