Vragen en antwoorden over de standaard VWO

Inleiding

Met de vaststelling van een eigen verwerkersovereenkomst (VWO) kiezen wij als gemeenten voor uniforme afspraken over het verwerken van persoonsgegevens. Deze standaard is ontwikkeld door én voor gemeenten, in overleg met landelijke leveranciers. Uit een consultatie langs gemeenten in Nederland bleek dat veel gemeenten in een impasse zaten en daarmee niet aan de AVG voldoen. De standaard VWO lost dit probleem voor alle gemeenten in een keer op. Zowel het College van Dienstverleningszaken als het bestuur van de VNG adviseren om de standaard verbindend te verklaren per 1 januari 2020. Tot aan deze datum geldt het principe van ‘pas-toe-of-leg-uit’. In de ledenbrief geven wij een toelichting op de totstandkoming, het beheer en het monitoren van de standaard VWO.

De standaard geldt voor nieuwe verwerkingen en in gevallen waarin geen overeenkomst is gesloten wanneer dat wel benodigd is.

Het verschil tussen de fase van pas-toe-of-leg-uit en de verbindende fase is vooral gelegen in de wijze waarop gemeenten omgaan met uitzonderingen. In de pas-toe-of-leg-uit fase gaat iedere gemeente op zoek naar een eigen oplossing voor een knelpunt door bijvoorbeeld aanvullende bepalingen of andere contracten. In de fase waarin de standaard verbindend is melden gemeenten een knelpunt bij de helpdesk van de VNG en pakken gemeenten knelpunten gezamenlijk op en werken ze voor uitzonderingen die voor meerdere gemeenten gelden een generieke oplossing uit in lijn met de standaard.

Algemene informatie

Toelichting standaardverklaring VWO

Naar aanleiding van de ledenbrief dd. 8 mei 2019 ontving de VNG/IBD vragen van gemeenten. De vragen hebben betrekking op het proces van standaardverklaren via de systematiek van samen organiseren. Daarnaast zijn vragen gesteld over de wijze waarop de verwerkersovereenkomst past binnen AVG. We hebben hiervoor de belangrijkste vragen en antwoorden in een nieuwsbericht gepubliceerd. In aanvulling op deze vragen en antwoorden geeft de VNG op deze pagina een beeld van de grondslag van de standaardverklaring en hoe deze past binnen de kaders van de AVG en de uitgangspunten van samen organiseren. Dit beeld heeft VNG afgestemd met de landsadvocaat:

Het proces van standaardverklaren is in de BALV van november aan de leden van de VNG voorgelegd. Het voorstel is bij acclamatie in de vergadering aangenomen. Gemeenten geven daarmee te kennen dat zij het principe van standaardverklaren zien als een gezamenlijke afspraak. Feitelijk is dit te zien als een morele verplichting van de leden van de vereniging om het onderling verplichten van standaarden te omarmen. In strikt juridische zin is een dergelijke verplichting niet opgenomen in de meest recente statutenwijziging. De standaardverklaring past echter geheel in de geest van het proces samen organiseren waarin we als vereniging en gemeenten de intentie hebben om gezamenlijke issues op een zo effectief mogelijke wijze te willen oplossen en omarmen. Dat is nog steeds ‘work in progress’ , daarbij past niet een vooraf dichtgetimmerde juridische werkwijze. Het nu voorliggende proces van standaardverklaren is daarom ons insziens ook met de nodige zorg totstandgekomen en biedt voldoende handvatten om standaarden aan de ALV voor te kunnen leggen.

Organisaties die persoonsgegevens verwerken zijn gehouden om daar waar die verwerking door anderen gebeurt daarvoor een overeenkomst op te stellen. In de gemeentelijke praktijk leidde dit tot aanvankelijk veel verschillende overeenkomsten tussen (software) leveranciers en gemeenten. In het kader van ‘samen organiseren’ heeft VNG, op voorspraak van de taskforce samen organiseren en het college van dienstverleningszaken, het voortouw genomen om binnen de bekende kaders van AVG te komen tot een voor gemeenten en leveranciers werkbare overeenkomst. Gemeenten en (grote) leveranciers zijn intensief betrokken geweest bij dit proces en stemmen in met de nu voorliggende tekst. Daarnaast is een proces ingericht dat borgt dat waar nodig de overeenkomst qua inhoud kan worden aangepast aan de in de uitvoering noodzakelijke eisen. De verwerkersovereenkomst wordt nadrukkelijk gepositioneerd in aanvulling op de hoofdovereenkomst die gemeenten hebben gesloten met de eigen leverancier.

De partijen die betrokken zijn geweest bij het opstellen van de verwerkersovereenkomst hebben ervoor gekozen om niet letterlijk bij de tekst van de AVG aan te sluiten, maar in plaats daarvan een tekst op te stellen die praktisch uitvoerbaar is en acceptabel is voor zowel de Gemeenten als de leveranciers. Dat niet bij de letterlijke tekst van de AVG is aangesloten, heeft wel als effect dat er op detailniveau discussie mogelijk is over de vraag of de verwerkersovereenkomst in overeenstemming is met de AVG. Mocht in de toekomst evenwel duidelijk worden dat, bijvoorbeeld vanwege verduidelijkende jurisprudentie of aanwijzingen van de toezichthouder, de verwerkersovereenkomst niet in overeenstemming is met de AVG, dan borgt het onderhoudsproces dat hieraan de relevante aandacht gegeven kan worden. De nu voorliggende overeenkomst is voorgelegd aan de Autoriteit Persoonsgegevens. De opmerkingen die zij op de tekst heeft gegeven zijn verwerkt in de nu voorliggende versie

=

  • Eerste versie dd. 22-5-2019
  • Bijgewerkt dd. 23-5-2019 – vraag en antwoord 9 toegevoegd
  • Toelichting standaardverklaring toegevoegd dd. 28 mei 2019

==

Vragen en Antwoorden

VRAAG: 1 Alvorens een standaard VWO vast te stellen en het gebruik van de standaard VWO verplicht te stellen zouden de onderstaande onderwerpen nader uitgezocht moeten worden en kan pas na verkregen uitsluitsel tot definitieve besluitvorming betreffende een standaard VWO overgegaan worden.

Heeft de VNG er rekening mee gehouden dat zij wellicht niet bevoegd is om een standaard VWO op te stellen.  Met in achtneming van de hieronder genoemde aandachtspunten is de juridische status van een verplichte VWO onduidelijk.

Ingevolge artikel 28, lid 8 Algemene verordening gegevensbescherming (AVG), kan een toezichthoudende autoriteit voor de aangelegenheden genoemd in artikel 28, lid 3 en 4 (afsluiten VWO met verwerker en met subverwerker) standaardcontractbepalingen vaststellen. Het vaststellen en verplicht stellen van standaardcontractbepalingen is dus een onderwerp waartoe de Autoriteit Persoonsgegevens het aangewezen orgaan is.

Een standaard VWO zou eventueel onderdeel kunnen uitmaken van een gedragscode als bedoeld in artikel 40, lid 2 AVG. De gedragscode dient dan ingevolge artikel 40, lid 5 door de AP goedgekeurd dient te worden. De standaard VWO is uitsluitend met de AP besproken.

ANTWOORD 1:

Binnen de Vereniging hebben gemeenten met elkaar afgesproken om via de methodiek van samen organiseren toe te werken naar gemeentelijke standaarden ter verbetering van de gemeentelijke uitvoeringspraktijk. In dat kader hebben gemeenten, leveranciers en de VNG de standaard verwerkersovereenkomst (standaard VWO) ontwikkeld. (zie voor meer informatie: https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/dienstverlening-aan-inwoners-en-ondernemers/nieuws/vng-verder-met-uitwerking-standaardiseren-van-processen ) Alle gemeenten spannen zich daarom maximaal in om deze standaard met hun leveranciers af te spreken in geval van:

  • Nieuwe verwerkingen en
  • Verwerkingen waar nog geen verwerkersovereenkomst voor is afgesloten.

Voor de duidelijkheid, de standaard VWO vervangt geen lopende afspraken, maar maakt het (in de toekomst) eenvoudiger om tot afspraken te komen.

De bovengenoemde afspraken t.a.v. samen organiseren zijn aldus verwerkt in de statuten van de VNG:

  • Artikel 23 lid 1 van de Statuten van de VNG bepaalt: De Vereniging kent een College van Dienstverleningszaken waarvan de leden op voordracht van de adviescommissie, zoals bedoeld in artikel 15, worden aangewezen door de algemene vergadering.
  • Artikel 23 lid 2 bepaalt: Het College richt zich op het verbeteren van de gemeentelijke uitvoeringspraktijk. Het College doet dit onder meer door: a. Het adviseren van het bestuur over vast te stellen standaarden ter verbetering van de kwaliteit en efficiëntie van gezamenlijke gemeentelijke uitvoering.

Het College van Dienstverleningszaken heeft in december 2018 geadviseerd om de standaard VWO m.i.v. 1 januari 2020 verplicht te stellen en in 2019 te gebruiken onder het regime van Pas-Toe-Of Leg-Uit. Het College heeft dit voorstel aan de ALV van de VNG voorgelegd en de leden beslissen op 5 juni 2019 of zij akkoord gaan met het voorstel van het College van Dienstverleningszaken.

De standaard VWO is inderdaad besproken met de AP. De AP aangegeven dat zij geen inhoudelijk oordeel geeft over verwerkersovereenkomsten. De AP handhaaft wel het bestaan van afspraken tussen verwerkers en verantwoordelijken en ziet het ontbreken van afspraken als een probleem. Daarom juichen zij het idee van een gemeentelijke standaard VWO toe.

De standaardisatie van de VWO vindt z’n legitimiteit daarom in de ambities van gemeenten om samen te organiseren, de ambities van gemeenten om te werken aan transparant en professioneel opdrachtgeverschap, de verplichtingen ingevolge de privacywet en de normen die gelden voor informatiebeveiliging.

VRAAG 2: Is het wel mogelijk dat de VNG een standaard VWO vaststelt die voor alle verwerkers (marktpartijen) verplicht is? Een verwerkersovereenkomst sluit je met een partij die voor jou als verwerkingsverantwoordelijke persoonsgegevens verwerkt. Die verwerkers zijn niet gebonden aan afspraken tussen VNG en gemeenten onderling.

De ultieme consequentie van het verplicht hanteren van de standaard VWO zou kunnen zijn dat je geen overeenkomst kunt sluiten met een verwerker die de standaard VWO niet accepteert. Is dat wenselijk?

Het zou kunnen zijn dat gemeenten moeten afwijken van de standaard VWO om onze aansprakelijkheid goed te kunnen ondervangen, of voor de naleving van de wet en regelgeving. De gemeenten worden door de standaard VWO beperkt in hun risicobeheersing.

Bij de totstandkoming van de standaard VWO is overleg geweest met een aantal grote leveranciers/verwerkers, waaronder Centric en PinkRoccade. Zij hebben inmiddels verklaard ook de gemeentelijke standaard te gaan gebruiken. (Zie voor meer leveranciers die zich hebben gecommitteerd aan de standaard VWO: https://www.informatiebeveiligingsdienst.nl/product/handreiking-standaard-verwerkersovereenkomst-gemeenten/).

ANTWOORD 2: Het collectief van gemeenten kan leveranciers inderdaad niet verplichten om de standaard VWO te gebruiken, maar hoe meer gemeenten en leveranciers de standaard VWO gebruiken, hoe meer leveranciers niet onder deze standaard uit kunnen. Als een leverancier volhardt in de weigering om de standaard VWO te gebruiken, kan een gemeente contact opnemen met VNG/IBD (privacy@vng.nl). De VNG/IBD zal dan de leverancier benaderen en daarmee het gesprek aangaan. Dat heeft al een aantal keer geleid tot een oplossing. Ook leveranciers die zaken doen met een gemeente die de standaard VWO niet wil gebruiken, kunnen contact opnemen met de VNG/IBD.

Juist het ontbreken van afspraken met leveranciers is het grootste risico. De standaard VWO biedt hiervoor een oplossing. De standaard is vanuit het oogpunt van risicobeperking voor (en op verzoek van) gemeenten ontwikkeld. Het is niet uitgesloten dat er situaties zijn waarin moet worden afgeweken van de standaard, deze afwijking geldt dan waarschijnlijk voor dat specifieke geval voor meerdere gemeenten. Een evetuele aanpassing kan dan ook collectief worden ontwikkeld. Ook door de toepassing van de standaard zullen er mogelijk praktijkvoorbeelden aan het licht komen die een noodzakelijke afwijking tot gevolg hebben. Mogelijk heeft dat ook een aanpassing van de standaard tot gevolg. Dit wordt behandeld in de beheergroep VWO die door gemeenten en leveranciers is opgericht. De VNG/IBD verzoekt gemeenten en leveranciers uitdrukkelijk om eventuele aanpassingen aan de VNG/IBD te melden om zo samen met gemeenten en leveranciers tot een werkbare oplossing te komen en de uniformiteit te bewaken.

Het punt van de aansprakelijkheid geldt breder dan alleen in verband met de bescherming van persoonsgegevens en dient idealiter in de hoofdovereenkomst te worden geregeld voor zover de AVG hierover geen uitsluitsel zou bieden.

VRAAG 3: Een standaard VWO biedt wel een mooie kapstok om met leveranciers een VWO af te sluiten, maar er wordt aan voorbij gegaan dat er niet altijd een hoofdovereenkomst is waarin alle juridisch eisen uit de AVG zijn vastgelegd. Je zult dus alvorens je de VWO afsluit de VWO altijd moeten bezien in relatie tot de hoofdovereenkomst en de verplichtingen uit de AVG. Door de VWO als standaard te stellen is er een risico aanwezig dat onderwerpen die ingevolge de AVG verplicht in een VWO geregeld moeten worden, vergeten worden, omdat ze niet in de hoofdovereenkomst zijn opgenomen en in de standaard VWO zijn weggelaten. 

ANTWOORD 3: In het geval er geen hoofdovereenkomst is, adviseren wij gemeenten om alsnog een hoofdovereenkomst af te sluiten. Het aanbrengen van wijzigingen van de Standaard VWO is, gelet op de uniformiteit, niet toegestaan. Het ontbreken van een hoofdovereenkomst moet ook niet worden gerepareerd door het aanpassen van de standaard VWO. De VWO vervangt geen lopende afspraken. In aanloop naar 1 januari 2020 zouden situaties als deze moeten kunnen worden beslecht. Ook daarin kan de VNG/IBD u bijstaan.

VRAAG 4: De gemeente, zijnde de verwerkingsverantwoordelijke, moet het beveiligingsniveau bepalen/goedkeuren, niet de verwerker. De gemeente wordt verplicht gesteld aan de BIG/BIO te voldoen. Als de gemeente de werkzaamheden uitbesteed aan een verwerker, dan zou deze verwerker toch minimaal ook aan de BIO/BIG moeten voldoen. Nu wordt in de standaard VWO, bijlage 2 nog meerdere opties open gehouden. Hoe strookt dit met de verplichting opgelegd aan de gemeenten om aan de BIG/BIO te voldoen.

ANTWOORD 4: De overheid dient te voldoen aan de BIG/BIO. Een leverancier kan een eigen normenkader hanteren zolang de overheid maar in staat blijft om aan de BIG/BIO te voldoen. De BIO kent verschillende beveiligingsniveaus. Afhankelijk van de vorm van de verwerking verschillen de beveiligingsmaatregelen die passend zullen zijn. In dat kader verwijzen wij ook nog naar artikel 32 lid 2 AVG die het voorgaande bevestigt. In artikel 32 lid 1 AVG wordt o.a. aangegeven dat de verwerker passende technische en organisatorische maatregelen treft afhankelijk van de aard, de omvang, de context en de verwerkingsdoeleinden en de risico’s voor de rechten en vrijheden van personen. De bijlagen bij de standaard VWO bieden voldoende ruimte om de beveiligingseisen aan te passen aan het soort verwerking en de risico´s die daarbij horen. Overigens is het advies van de landsadvocaat om de beschrijving van deze maatregelen zo algemeen mogelijk te houden om als verwerkingsverantwoordelijke sterker te staan als het een keer fout gaat. Verwerker heeft namelijk vanuit de AVG de plicht om te zorgen dat zijn beveiligingsmaatregelen te allen tijde actueel en passend zijn.

VRAAG 5: Tot slot nog het volgende. Ingevolge de BIO is standaard het basis beveiligingsniveau 2 van toepassing. Om te beoordelen of er sprake is van een verhoogd risico, dus of er een zwaardere maatregel uit een in de BIO genoemde handreiking verplicht gesteld moet worden, zou tabel 1 daarin meer ondersteuning kunnen bieden door bij de categorieën van betrokkenen onderscheid te maken in: reguliere en kwetsbare betrokkenen, en reguliere en bijzondere persoonsgegevens. Toevoegen van een kolom met de vraag of er sprake is van een verhoogd risico voor de veilige verwerking van persoonsgegevens zou dan ook meer op zijn plaats zijn.

ANTWOORD 5: In de vorige versie van de standaard VWO stond inderdaad wel een kolom met ‘verhoogd risico’. Echter, de Beheergroep VWO heeft tijdens de laatste bijeenkomst op 28 maart 2019 besloten om deze kolom eruit te halen. Na invulling van Bijlage 1 blijkt namelijk wat de categorieën betrokkenen zijn en welke (bijzondere) persoonsgegevens worden verwerkt. Dus daaruit kunt u concluderen of er wel of niet sprake is van een verhoogd risico.

Wij zullen uw opmerking hierover als input voor de volgende bijeenkomst van de Beheergroep VWO op 10 oktober 2019 meenemen.

VRAAG 6: Geldt dit voor alle verwerkersovereenkomsten die in 2020 worden afgesloten of moet er ook een inhaalslag/correctie gedaan worden op de reeds afgesloten verwerkersovereenkomsten?

ANTWOORD 6: Gemeenten spannen zich  in om deze standaard met hun leveranciers af te spreken in geval van:

  • Nieuwe verwerkingen en
  • Verwerkingen waar nog geen verwerkersovereenkomst voor is afgesloten.

Voor de duidelijkheid, de standaard VWO vervangt geen lopende afspraken, maar maakt het (in de toekomst) eenvoudiger om tot afspraken te komen.

VRAAG 7: Er wordt gezegd dat dit geschillen voorkomt, omdat alle landelijke aanbieders dezelfde verwerkersovereenkomst (is logisch) krijgen. Hoe gaat dit met lokale aanbieders?

ANTWOORD 7: Lokale aanbieders die persoonsgegevens verwerken namens gemeenten worden geacht zich aan de standaard te houden. De standaard is in samenwerking met leveranciers ontwikkeld en biedt een transparante heldere set aan eisen. VNG/IBD voorziet geen problemen in de adoptie van lokale aanbieders,

VRAAG 8: Wanneer je afwijkt, moet je dit bijhouden in een jaarrapportage. Welke? Houdt de VNG hier toezicht op?

ANTWOORD 8: Afwijkingen kunnen worden gemeld in het jaarverslag van de Functionaris Gegevensbescherming. Het gebruik van de standaard door gemeenten wordt gemonitord door VNG/IBD, dit gebeurt met het oogpunt om eventuele knelpunten bij het gebruik op te sporen en weg te nemen.

VRAAG 9: Wordt het onmogelijk om, als de standaard eenmaal vastgesteld is, af te wijken, ook als de gemeente in een specifiek geval geconfronteerd wordt met grote risico’s? 
ANTWOORD 9: Het is niet de bedoeling dat gemeenten geconfronteerd worden met grote risico’s als gevolg van de standaard VWO. Indien een dergelijke situatie zich voordoet verdient het echter wel de aanbeveling om in de eerste plaats op zoek te gaan naar een standaard oplossing voor alle gemeenten voor dat specifieke geval. Ook dat is samen organiseren. Als een standaard oplossing niet mogelijk is, dan kan in het uiterste geval worden afgeweken van de standaard.