Wanneer een organisatie de verwerking van persoonsgegevens uitbesteedt aan een externe partij dan is het verplicht om afspraken te maken over de verwerking van de gegevens. Deze verplichting vloeit voort uit de privacywetgeving. Deze afspraken moeten schriftelijk worden vastgelegd in een zogeheten ‘verwerkersovereenkomst’.
De Algemene verordening gegevensbescherming (AVG) schrijft voor dat er een verwerkersovereenkomst moet zijn als de organisatie persoonsgegevens voor een ander verwerkt of als de organisatie persoonsgegevens aan een derde ter beschikking stelt. In een verwerkersovereenkomst staat beschreven wie verantwoordelijk is bij de verwerking van persoonsgegevens als daarvoor een ander bedrijf wordt ingeschakeld. Daarbij wordt onderscheid gemaakt tussen de verantwoordelijke en de verwerker: de verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerker is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Een voorbeeld is een gemeente dat persoonsgegevens verzamelt van haar medewerkers voor de salarisadministratie. De gemeente is dan de verantwoordelijke. Wanneer de gegevens worden verwerkt door een salarisbureau dan is dit de verwerker.
In een verwerkersovereenkomst wordt het volgende geregeld:
- Wat het doel van de verwerking is
- Wat de manier/methode van verwerking is (met welke middelen)
- De locatie van de data
- Geheimhouding
- Afspraken over eventuele onderaannemers/derden
- Beveiligingsmaatregelen
- De duur van de verwerking
- Afspraken over audits
- Afspraken over aansprakelijkheid
Een verwerkersovereenkomst is overigens niet altijd noodzakelijk een apart document. Het is ook mogelijk dat de afspraken tussen partijen vastgelegd worden in een hoofdovereenkomst, algemene voorwaarden of een Service Level Agreement.
Elke gemeente heeft te maken met verschillende partijen (de Vereniging van Nederlandse Gemeenten (VNG) spreekt over een aantal van circa 50) waarover afspraken moeten zijn gemaakt over de verwerking van persoonsgegevens en moeten dit dus vastleggen in een verwerkersovereenkomst. Om dit te vereenvoudigen hebben de VNG, gemeenten en leveranciers een gemeentelijke standaard verwerkingsovereenkomst ontwikkeld. Het voordeel hiervan volgens de VNG is dat:
- Gemeenten tijd en geld (juridisch advies en onderhandelingen) besparen en ontzorgd worden bij het maken van afspraken over het verwerken van persoonsgegevens;
- Gemeenten de positie als betrouwbare en voorspelbare partners voor hun leveranciers versterken;
- Marktpartijen exact weten waar ze aan toe zijn wanneer ze persoonsgegevens voor of namens gemeenten verwerken.
Een bijkomend voordeel van deze aanpak is dat bij geschillen over het gebruik van de standaard verwerkersovereenkomst de VNG namens de gemeenten een standpunt kan bepalen en in gesprek kan gaan met leveranciers.
De VNG heeft in een ledenbrief de gemeenten hierover geïnformeerd. Deze is onder andere te vinden op de website van de VNG. Klik hier voor de ledenbrief.
De besluitvorming hierover is gepland voor de ledenvergadering op 5 juni a.s.