Model-Verwerkersovereenkomst ten behoeve van AVG

Op 25 mei jl. is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Wij hebben u eerder geïnformeerd over het aanstellen van een Functionaris Gegevensbescherming. In dit bericht willen wij u verder informeren over de plicht om afspraken te maken met partijen die persoonsgegevens van de rekenkamer(commissie) verwerken.[1]

De AVG verplicht alle organisaties in Europa om op een goede wijze met hun persoonsgegevens om te gaan. Niet meer persoonsgegevens bewaren dan nodig, goed beveiligen en persoonsgegevens alleen gebruiken voor zaken waar een wettelijke grondslag voor bestaat, zijn hier onderdeel van.

Deze verplichtingen gelden ook als gegevens aan een andere partij in beheer worden gegeven, of als een andere partij toegang krijgt tot persoonsgegevens. In dat geval moet de Verwerkingsverantwoordelijke[2] (degene van wie de persoonsgegevens zijn) schriftelijke afspraken maken met de andere partij, de Verwerker. Deze afspraken worden vastgelegd in een Verwerkersovereenkomst.

Omdat de rekenkamer(commissie) een Verwerkingsverantwoordelijke is in de zin van de AVG bent u verplicht om een Verwerkersovereenkomst te sluiten als u de persoonsgegevens door een ander laat verwerken.

Met dit bericht en de modellen (zie onderaan deze pagina) geven wij een handreiking voor het sluiten van Verwerkersovereenkomsten met externe partijen.

Wat wordt geregeld in de Verwerkersovereenkomst?
In de Verwerkersovereenkomst moet in ieder geval worden geregeld[3]:

• dat de Verwerker de persoonsgegevens alleen mag verwerken conform de schriftelijke instructies van de verantwoordelijke. In veel gevallen zal hiervoor worden verwezen naar de gesloten dienstverleningsovereenkomst;
• dat de Verwerker de gegevens goed moet beveiligen. Bij voorkeur wordt hier aangesloten op normen zoals bijvoorbeeld de BIG of de ISO 27001 / 27002 -norm;
• dat een Verwerker alleen gebruik mag maken van andere Verwerkers voor het behandelen van uw persoonsgegevens (sub-Verwerkers) nadat hij daar van u toestemming heeft gekregen en nadat hij ook met deze Verwerker afspraken heeft gemaakt middels een Verwerkersovereenkomst. De Verwerker blijft ook verantwoordelijk voor de sub-Verwerker;
• er moeten afspraken gemaakt worden over het borgen van de rechten van betrokkenen (inzage, correctie, verwijdering, e.d.);
• de Verwerker met ondersteunen bij het uitvoeren van een gegevenseffect-beoordelingen (DPIA);
• de Verwerker moet de verantwoordelijke informeren in geval van een datalek en passende maatregelen treffen om de gevolgen van het datalek te beperken;
• er worden afspraken gemaakt hoe de verantwoordelijke de nakoming kan controleren.

Daarnaast maken partijen in veel gevallen afspraken over de (beperking van) aansprakelijkheid.

Verwerkersovereenkomsten van leveranciers
Levert de leverancier een Verwerkersovereenkomst aan? Beoordeel deze dan op de bovengenoemde punten. Let in het bijzonder op:

• Het geboden veiligheidsniveau. Als er geen norm van toepassing wordt verklaard, welke maatregelen worden dan wel genomen?
• De omvang van de aansprakelijkheid, wordt deze volledig of grotendeels uitgesloten?
• De termijn waarbinnen u geïnformeerd wordt in geval van een datalek. Wij adviseren een termijn van 24 uur, maar maximaal 36 uur;

Wanneer wel een Verwerkersovereenkomst en wanneer niet?
Het op orde brengen van Verwerkersovereenkomsten is soms ingewikkeld. Niet met alle partijen die persoonsgegevens van u ontvangen hoeft namelijk een Verwerkersovereenkomst te worden gesloten.

Partijen zijn met deze informatie snel geneigd om met alle partijen aan wie zijn gegevens ter beschikking stellen Verwerkersovereenkomsten te sluiten. Dit is niet in alle gevallen nodig.

Een externe partij kan namelijk ook “ontvanger” zijn van persoonsgegevens in plaats van Verwerker. Denk aan de rekenkamer die gegevens van leden of medewerkers verstrekt aan een opleidingsinstituut ten behoeve van een te volgen opleiding. Het opleidingsinstituut heeft de gegevens nodig voor haar dienstverlening (het bieden van een opleiding/training aan de leden of medewerkers en wellicht het verstrekken van een certificaat of diploma). Het opleidingsinstituut is hiermee zelfstandig verantwoordelijk.

Omdat de ontvanger zelfstandig verantwoordelijk is en dus niet handelt op instructie van de Verwerkingsverantwoordelijke hoeft er geen Verwerkersovereenkomst te worden gesloten.

Ook met externen hoeft niet altijd een Verwerkersovereenkomst te worden gesloten. Als  stagiaires, uitzendkrachten, payroll-medewerkers of gedetacheerde krachten feitelijk meewerken als medewerkers op de infrastructuur van de Verwerkingsverantwoordelijke, dan is er sprake van “intern beheer”. Een Verwerkersovereenkomst is dan niet nodig.

ZZP’ers en andere dienstverleners worden vaak aangemerkt als Verwerker. Met hen moet een Verwerkersovereenkomst worden gesloten. In sommige gevallen kan er sprake zijn van “intern beheer”. Twijfelt u of u een Verwerkersovereenkomst met sluiten met een partij? Ga dan in overleg met die partij om de positie ten opzichte van elkaar vast te stellen. Documenteer de overwegingen waarom er uiteindelijk wel- of geen Verwerkersovereenkomst is gesloten. Bij dit bericht is tevens een model-Verwerkersovereenkomst toegevoegd voor dergelijke situaties.

De Verwerkersovereenkomst met de gemeente
In veel gevallen zal de rekenkamer(commissie) gebruik maken van de ICT-infrastructuur van de gemeente waarvoor zij werkzaam is. In dat geval is de gemeente een Verwerker. Maakt u gebruik van een professionele/zelfstandige ICT-dienstverlener, dan kunt u ook de Verwerkersovereenkomst van de dienstverlener opvragen en toetsen.

Bijgevoegde modellen
Bijgaand vindt u:

• Een aangepaste modelovereenkomst op basis van de Informatie Beveiligingsdienst sept. 2017;
• Een modelovereenkomst voor gebruik van de gemeentelijke ICT-infrastructuur;
• Een modelovereenkomst bedoeld voor samenwerking met kleine partijen.

[1] Iedere handeling met een persoonsgegeven is een verwerking. Dus denk aan: Opslaan, aanpassen, controleren, verwijderen, enz.
[2] Juridisch gezien: degene die het doel en de middelen van de verwerking bepaalt
[3] artikel 28 lid 3 AVG