Gemeenten komen er niet onderuit om bij de uitoefening van hun taken persoonsgegevens te laten verwerken door derde partijen. Op grond van de AVG zijn gemeenten, als verwerkingsverantwoordelijken, verplicht om afspraken met hen te maken in de vorm van een verwerkersovereenkomst. Hierin worden de verantwoordelijkheden van zowel de gemeente als de derde partij geregeld en wordt vastgelegd hoe de verwerker moet omgaan met de persoonsgegevens van de gemeente. Om het voor beide partijen makkelijker te maken is een standaardovereenkomst opgesteld door de Vereniging Nederlandse Gemeenten (VNG). Toch blijken hier in de praktijk nog wel wat vragen over te zijn. Vandaar dit artikel.
Makkelijker afspraken maken met elkaar
De VNG-verwerkersovereenkomst is sinds 2020 verplicht verklaard voor gemeenten en hun leveranciers. De overeenkomst bestaat uit standaardbepalingen en een aantal bijlagen die door de partijen ingevuld moeten worden. De partijen passen de standaardbepalingen niet aan en vullen alleen de ‘geel gemarkeerde’ stukken in. Zo komen de partijen eenvoudig tot afspraken. Het is namelijk een lastige opgave om losse afspraken te maken met elke leverancier, zeker als een gemeente tientallen leveranciers heeft. Het is ook onhaalbaar om de naleving van dat soort afspraken te controleren.
Bij het opstellen van het VNG-model waren zowel representatieve leveranciers als gemeenten betrokken. Met dit standaardmodel is geprobeerd een middenweg te vinden. Beide partijen hebben wat moeten inleveren, om zo een compromis te sluiten. Sommige bepalingen zullen minder gunstig zijn voor leveranciers en andere bepalingen voor de gemeenten. In het grotere geheel gaan beide partijen erop vooruit. Het is namelijk een stuk efficiënter en overzichtelijker werken met een standaardverwerkersovereenkomst.
Wat als je toch andere afspraken wilt maken?
Het komt nogal eens voor dat de partijen toch aanpassingen in de standaardverwerkersovereenkomst willen maken. Maar op die manier ontstaat een situatie die juist voorkomen moest worden. Daarom is ervoor gekozen om het aanpassen van bepalingen niet mogelijk te maken. Wil je toch andere afspraken maken? Dan kan dat in de hoofdovereenkomst. Het is bijvoorbeeld logisch dat een stichting, die niet als doel heeft winst te maken, wat angstiger is tegenover kosten die zij kunnen verwachten. De verwerking van persoonsgegevens blijft natuurlijk wel altijd de verantwoordelijkheid van de verwerkingsverantwoordelijke. Bij deze verantwoordelijkheid horen ook verplichtingen op grond van de AVG. Het is niet mogelijk om in strijd met de wet afspraken te maken. Gebeurt dit toch, dan zijn deze afspraken niet rechtsgeldig en kunnen partijen zich hier niet op beroepen.
Laat de overeenkomst altijd controleren
De verantwoordelijkheden van de partijen zijn standaard vastgelegd in de overeenkomst en dus altijd hetzelfde.
Dit geldt niet voor:
- welke persoonsgegevens er worden verwerkt
- waarom die persoonsgegevens worden verwerkt
- hoe de persoonsgegevens worden verwerkt
Deze punten onderscheiden de ene van de andere overeenkomst en hier moet dus goed over nagedacht worden. In de praktijk wordt hier toch vaak te makkelijk over gedacht of wordt het niet goed begrepen. In de eerste bijlage van de overeenkomst moeten de te verwerken persoonsgegevens worden opgenomen en met welk doel ze worden verwerkt. De verwerkingsverantwoordelijke bepaalt dit. Wat je vaak ziet, is dat de bijlage op een te abstract niveau wordt ingevuld. Er wordt bijvoorbeeld gekeken naar het doel van het proces of de applicatie, in plaats van naar het doel van de verwerking van persoonsgegevens. Het is ook niet altijd duidelijk wat de persoonsgegevens zijn. Dit zijn niet de volledige documenten die bijvoorbeeld voor een vergunning moeten worden aangeleverd, maar de gegevens die erop staan die jou als persoon kunnen identificeren. Het is niet gek dat dit niet altijd goed gaat. Daarom is een controle op de verwerkersovereenkomst door een specialist altijd nodig.
Werk samen met een privacy specialist
Om ervoor te zorgen dat de verwerkersovereenkomst minder voelt als een checklist en meer als een logisch document, kan je met een privacy specialist schakelen binnen jouw organisatie. Bij gemeenten lopen vaak meerdere privacy officers rond. Zij kunnen ondersteuning bieden en uitleg geven over de werking van de AVG. Dit kan voor meer begrip zorgen, waardoor het de volgende keer een stuk makkelijker is om een overeenkomst in te vullen. Het grootste gedeelte staat al vast, maar ook het invullen van de bijlage is van belang. Hoe specifieker de verwerking van persoonsgegevens wordt omschreven, hoe meer zekerheid je dat biedt als verwerkingsverantwoordelijke.
Natuurlijk kun je met vragen ook altijd bij de privacy professionals van PMP terecht.