De verwerkersovereenkomst is voor organisaties vaak meer een noodzakelijke administratieve drempel, dan een moment om eens goed na te denken over een veilige omgang met persoonsgegevens. Zeker wanneer de verwerking van persoonsgegevens grote overlap kent voor elke klant of leverancier, is het noodzakelijk om een goede standaardversie daarvan te hanteren. Veel brancheorganisaties bieden daarom een template aan, die hun leden kunnen gebruiken. In deze editie van de serie “Standaard verwerkersovereenkomsten”, de verwerkersovereenkomst van de Vereniging van Nederlandse Gemeenten die door gemeenten standaard wordt gehanteerd.
Voor wie is deze standaard?
De VNG is de organisatie waarin alle gemeenten van Nederland vertegenwoordigd zijn. De vereniging ondersteunt lokale overheden op de terreinen kennisdeling, belangenbehartiging (in de vorm van lobbyen) en dienstverlening. Eén van de diensten die worden verleend, is ondersteuning middels standaard documenten, waaronder de verwerkersovereenkomst. In tegenstelling tot veel andere standaard verwerkersovereenkomsten, is het gebruik van de VNG standaard verwerkersovereenkomst verplicht gesteld. Het is voor leveranciers aan gemeenten daarom raadzaam om goed bekend te zijn met deze standaard.
Bij het opstellen van de standaard, zijn naast de VNG onder meer de landsadvocaat en diverse grote leveranciers betrokken geweest. Daarmee is getracht te zorgen dat de standaard niet te eenzijdig de belangen van gemeenten behartigt. Immers, als leveranciers in het algemeen veel aan te merken hebben op de standaard, of helemaal niet akkoord gaan, heeft de standaard weinig toegevoegde waarde.
Naast een verwerkersovereenkomst biedt de VNG ook andere tools aan, ten behoeve van privacy bij gemeenten. Zo is er een verzameling ‘handreikingen privacy en AVG’ en kan er een cyberoefening worden gedaan, om te oefenen met beveiligingsincidenten.
Wat kenmerkt deze verwerkersovereenkomst?
De bestuursorganen binnen gemeenten, zoals het college van B en W en de sociale dienst, verwerken op grote schaal persoonsgegevens in de rol van verwerkingsverantwoordelijke. Primair natuurlijk van de eigen burgers, maar ook van medewerkers. De taken waarvoor persoonsgegevens worden verwerkt, en dus de verwerkingen zelf, verschillen echter sterk van aard. Er zijn grootschalige algemene verwerkingen, zoals het bijhouden van de Basisregistratie personen. Maar gemeenten voeren ook taken uit in het sociaal domein, bijvoorbeeld op grond van de Wet maatschappelijke ondersteuning (Wmo). Daarbij worden bijzondere persoonsgegevens verwerkt. Met het hele spectrum dient uiteraard in een standaard verwerkersovereenkomst rekening gehouden te worden. Dat uit zich in de VNG-standaard, doordat alleen de absolute basisafspraken vastliggen in de hoofdtekst. Aanvullend kan worden gekozen om bepalingen uit de Gemeentelijke Inkoopvoorwaarden bij IT van toepassing te verklaren. Onderwerpen als aansprakelijkheid, audits en een exit-plan worden daarin geregeld.
Geen bijzaak: de bijlagen
Voor de details van de verwerking, sub-verwerkers en afspraken over beveiligingsmaatregelen wordt gebruik gemaakt van bijlagen, zoals gebruikelijk is bij standaard verwerkersovereenkomsten.
Het is voor de verwerker van groot belang om scherp te zijn op de juistheid van de bijlagen. Niet alleen weet een verwerker doorgaans het beste welke gegevens in haar systeem worden opgenomen, ook kunnen hier de specifieke beveiligingsmaatregelen alvast zwart op wit worden gezet. Een bijzonderheid aan de VNG-standaard is dat de bijlage over beveiligingsmaatregelen met name ziet op de aantoonbaarheid van passende beveiliging. De nadruk ligt op certificering die de leverancier heeft om de processen veilig te houden, en niet op specifieke beveiligingsmaatregelen.
Overige bijzonderheden en tips
Er is geen speciale bijlage om eventuele afwijkingen van de standaard in op te nemen, zoals bij de BoZ-standaard wel het geval is. Het is niet verboden om af te wijken van de standaardtekst. Gemeenten moeten een eventuele afwijking van de standaard echter wel in hun jaarrapportage vastleggen.
Tot slot bevat de verwerkersovereenkomst een zeer uitgebreide toelichting. Dit om het gebruik ervan gemakkelijker te maken voor medewerkers van gemeenten. Het zal het een kenner van verwerkersovereenkomsten opvallen, dat er in de toelichting een aantal dingen specifiek worden benoemd, die in de hoofdtekst van de verwerkersovereenkomst niet ter sprake komen. Zo wordt het afhandelen van rechten van betrokkenen in het bijbehorende artikel alleen in grove hoofdlijnen benoemd. Pas in de toelichting wordt de (verplichte) afspraak beschreven, dat de verwerker een verzoek van een betrokkene zal doorsturen aan de verwerkingsverantwoordelijke. Of dit juridisch helemaal in orde is, valt wat mij betreft te betwijfelen.
Deze blog is de tweede editie van de serie “Standaard verwerkersovereenkomsten”. Hierin behandelen wij een gangbare standaardversie van de verplichte verwerkersovereenkomst. In de edities hierna komen onder andere de verwerkersovereenkomsten van het Privacyconvenant 3.0, van de VNG en van NLdigital aan bod.
