AVG: nieuwe standaard verwerkersovereenkomst voor gemeenten

Voor de AVG is de verwerkersovereenkomst een van de verplichte nummers. Begin augustus heeft de Informatiebeveiligingsdienst (IBD) voor gemeenten daarvoor een nieuw standaarddocument gepubliceerd. Wat is er veranderd ten opzichte van het oude standaarddocument? En waar moet u op letten?

Een nieuwe standaard verwerkersovereenkomst

Met een verwerkersovereenkomst maken partijen afspraken over de verwerking van persoonsgegevens. Zo’n overeenkomst is nodig als een organisatie persoonsgegevens laat verwerken door een externe partij. Om te voorkomen dat gemeenten daarbij allemaal zelf het wiel moeten uitvinden, heeft de IBD een nieuwe standaard verwerkersovereenkomst gepubliceerd. Deze vervangt de oude standaard en is ontwikkeld samen met gemeenten en een groot aantal leveranciers.

Op maat voor de AVG

In de nieuwe standaard is een aantal regels uit de oude standaard aangepast die tot veel discussie leidden. Daarnaast past de nieuwe standaard beter bij de AVG. In de AVG is veel specifieker geregeld wat er in een verwerkersovereenkomst moet staan dan voorheen in de Wet bescherming persoonsgegevens (Wbp). Een andere verandering is dat verwerkers niet zomaar meer een subverwerker mogen inschakelen. Ze hebben daarvoor vooraf toestemming nodig van de verwerkingsverantwoordelijke.

De bijlagen

Bij de standaard verwerkersovereenkomst hoort ook een bijlage met een overzicht van de persoonsgegevens die de leverancier verwerkt. Dit geeft een helder en handzaam overzicht van de persoonsgegevens die worden verwerkt en kunnen daarmee gemakkelijk in het register van verwerkingen worden opgenomen. Daarnaast is er een bijlage waarin de leverancier aangeeft hoe hij zorgt voor de juiste beveiliging. Meer informatie over de nieuwe standaard verwerkersovereenkomst vindt u op de site van de IBD.

Bijhouden en melden datalekken

Als verwerkingsverantwoordelijke moet u een administratie bijhouden van alle voorvallen en situaties die hebben geleid, of kunnen leiden, tot het lekken van persoonsgegevens. Ook voorvallen en situaties die u niet hoeft te melden aan de Autoriteit Persoonsgegevens (AP) moet u hierin opnemen. Onder de Wbp hoefde dat laatste niet. Daar staat tegenover dat u potentiële datalekken onder de AVG minder vaak hoeft te melden. Zo’n melding is niet meer nodig als u kunt aantonen dat er zeer waarschijnlijk geen gegevens zijn gelekt. Ook is een melding niet noodzakelijk als zo’n lek geen gevolgen zou hebben voor de personen van wie de gegevens zouden zijn gelekt.

Lopende en eigen afspraken

De nieuwe standaard verwerkersovereenkomst vervangt geen lopende afspraken. Dus als u met uw verwerkers al andere afspraken heeft gemaakt, bijvoorbeeld via de oude standaard, dan blijven die gelden. Verder geldt het principe van ‘pas toe of leg uit’. Dit betekent dat u afspraken kunt maken die afwijken van de nieuwe standaard. Ons advies is dit alleen te doen als u daarvoor echt hele goede redenen heeft. Want juist met een gezamenlijke standaard hebben gemeenten een goed alternatief in handen voor de eigen voorwaarden die leveranciers u anders zullen willen opleggen. Bovendien is het voor uw eigen organisatie veel overzichtelijker als u met uw vele leveranciers zoveel mogelijk dezelfde regels afspreekt.

Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT)

Overigens maken veel gemeenten gebruik van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Daarin staat dat de leverancier de rol van verwerker op zich neemt, aangevuld met een aantal basisafspraken daarover. De GIBIT functioneert daarmee al als een soort verwerkersovereenkomst. Echter, in veel gevallen zijn er aanvullende afspraken nodig over de verwerking van persoonsgegevens. Daarvoor kunt u dan de nieuwe standaard verwerkersovereenkomst van IBD gebruiken. Of gebruik de aangepaste GIBIT-generator van VNG Realisatie waarin nu ook een AVG-deel is opgenomen.

Wij delen kennis, tips en adviezen. Blijf op de hoogte.
Meld u aan voor de nieuwsbrief.

Of volg ons op LinkedIn.