Standaard verwerkersovereenkomst gemeenten

Bijgewerkt: 17-4-2019

Gemeenten en hun leveranciers willen eenvoudiger tot realistische afspraken komen over het verwerken van persoonsgegevens. Daarom hebben gemeenten, leveranciers en VNG gezamenlijk aan een standaard verwerkersovereenkomst gewerkt. Het is de bedoeling dat de vaststelling van dit document de impasse doorbreekt in die gevallen waarin gemeenten met hun verwerkers geen aanvullende afspraken hebben kunnen maken over de verwerking van persoonsgegevens. Bij nieuwe verwerkingen wordt zo kostbare tijd en energie bespaard, omdat vooraf duidelijkheid is over de verwerking van persoonsgegevens. Voor bestaande overeenkomsten blijven de lopende verwerkingsovereenkomsten gelden.

Proces vaststelling

De Taskforce Organiseren heeft in mei 2018 groen licht gegeven om tot een standaard verwerkersovereenkomst voor gemeenten te komen en heeft gemeenten en leveranciers opgeroepen inhoudelijk feedback te geven en zo de verwerkersovereenkomst nog verder te verbeteren.

Hierop werkten de IBD samen met gemeenten (CISO’s, FG’s en inkopers) en leveranciers aan de verfijning van het document. Het document is besproken bij de regiobijeenkomsten van de IBD, de regionale VNG Realisatie privacybijeenkomsten en de leveranciersbijeenkomsten van VNG Realisatie.

De overeenkomst is zodoende tot stand gekomen in nauwe samenwerking met gemeenten en leveranciers. De Standaard Verwerkersovereenkomst is een geheel nieuwe aanpak voor gemeenten. De overeenkomst regelt op een uniforme wijze de afspraken rondom de verwerking van persoonsgegevens en bevat slechts die zaken die op grond van de Algemene Verordening Gegevensbescherming moeten worden geregeld en die niet al op een andere wijze zijn geregeld zoals bijvoorbeeld in de wet of in de hoofdovereenkomst.

De Taskforce Samen Organiseren heeft geadviseerd om na een zorgvuldig proces het document door te geleiden naar het College van Dienstverleningszaken. Het College van Dienstverleningszaken heeft op 6 december 2018 aan het VNG Bestuur geadviseerd om de Standaard Verwerkersovereenkomst vanaf 1 januari 2020 tot standaard te verklaren met een aanloopperiode van pas-toe-of-leg-uit vanaf 1 januari 2019. Dat betekent dat gemeenten in 2019 alleen nog van deze standaard kunnen afwijken, indien zij dat in hun jaarrapportage motiveren. Het vaststellingsproces is als volgt:

  • VNG Realisatie heeft alle commentaar (binnengekomen voor november 2018) gepubliceerd op de IBD Community.
  • Eenvoudige vragen zijn direct beantwoord. Vragen waar discussie uit volgde zijn gebundeld en met advies voorgelegd aan de toetsgroep van gemeenten.
  • De Klankbordgroep (bestaande uit leveranciers) adviseerde de toetsgroep.
  • De toetsgroep nam op 12 november 2018 een beslissing over de inhoud van de verwerkersovereenkomst op basis van de ingediende adviezen, hierop is naderhand nog een gezamenlijke bijeenkomst van gemeenten en leveranciers geweest om enkele wijzigingen te verduidelijken.
  • VNG Realisatie heeft de feedback verwerkt in versie 1.11 van de overeenkomst.
  • VNG Realisatie heeft versie 1.11 van de overeenkomst voorgelegd aan het College van Dienstverlening.
  • Het College heeft op 6 december 2018 het VNG Bestuur positief geadviseerd over de standaardverklaring van de overeenkomst per 1-1-2020 met een aanloopperiode van pas-toe-of-leg-uit vanaf 1-1-2019.
  • De Standaard Verwerkersovereenkomst versie 1.11 is eind december 2018 voorgelegd aan de landsadvocaat en de Autoriteit Persoonsgegevens.
  • De landsadvocaat heeft een aantal verbetervoorstellen gedaan.
  • Gemeenten en leveranciers hebben commentaar geleverd op versie 1.11.
  • De Commissie Informatiesamenleving heeft het VNG Bestuur positief geadviseerd over de Standaard Verwerkersovereenkomst.
  • Het VNG Bestuur is er mee akkoord gegaan om de Standaard Verwerkersovereenkomst vanaf 1 januari 2019 standaard te verklaren onder het regime van pas-toe-of-leg-uit. Binnenkort zal het VNG bestuur een besluit nemen om de Standaard Verwerkersovereenkomst vanaf 1 januari 2020 verplicht te verklaren.
  • Op 28 maart heeft de Beheergroep VWO (bestaande uit een vertegenwoordiging van 14 gemeenten/regionale samenwerkingsverbanden en 10 leveranciers) een besluit genomen over de geleverde input (van gemeenten, leveranciers en landsadvocaat). Dit heeft geresulteerd in versie 2.0.
  • In juni 2019 zal de Algemene Ledenvergadering van de VNG besluiten of zij de besluiten van het VNG Bestuur bekrachtigd, zodat de Standaard Verwerkersovereenkomst als standaard voor gemeenten is vastgesteld, volgens het principe van verplichtende zelfregulering.

Beheer & wijzigingen

Het gebruik van een Standaard Verwerkersovereenkomst is nieuw voor gemeenten. Het concept is niet nieuw, dat wordt al toegepast in de onderwijssector. Gemeenten en leveranciers kunnen hun ervaringen delen via privacy@vng.nl – deze ervaring is waardevol bij de doorontwikkeling van de standaard. Hiervoor is een beheermodel opgezet. Dit beheermodel is – in het kort – als volgt:

  • Gemeenten en leveranciers kunnen vragen, suggesties en verbetervoorstellen voor de Standaard Verwerkersovereenkomst indienen bij één centraal punt: privacy@vng.nl;
  • Bij VNG Realisatie/IBD worden de voorstellen opgeslagen;
  • De voorstellen en suggesties worden voorgelegd aan de Beheergroep VWO.
  • De leden van de Beheergroep zijn momenteel 14 gemeentelijke vertegenwoordigers (FG’s, CISO’s en inkopers) en (maximaal) 10 leveranciers;
  • Het lidmaatschap van de Beheergroep zal vanaf 2020 regelmatig wijzigen om zoveel mogelijk gemeenten en leveranciers de kans te geven hier aan deel te nemen.
  • We streven naar een goede afspiegeling van kleine, middelgrote en grote gemeenten. In principe zullen de G5 en de grote leveranciers een vaste plaats in de Beheergroep VWO hebben;
  • Tijdens de bijeenkomst van de Beheergroep VWO bepalen de leden of zij akkoord gaan met de voorgestelde wijzigingen. Aangenomen wijzigingen van ingrijpende aard worden voorgelegd aan het College van Dienstverleningszaken.
  • De leden van de Beheergroep VWO hebben aangegeven tweemaal per jaar bij elkaar te willen komen. Het eerstvolgende overleg is zodoende gepland voor 10 oktober 2019.

Leden beheergroep

De Beheergroep VWO bestaat uit de volgende deelnemers:

Gemeenten/regionale samenwerkingsverbanden: G5 (FG), Almere, (Contract- en Leveranciersmanagement), BUCH-gemeenten (CISO), Drechtsteden (FG), Eindhoven (CIO), Hollands Kroon (FG), Horst aan de Maas (FG), Regionale Sociale Dienst Kromme Rijn Heuvelrug (FG), Oss (CISO), Samenwerkingsverband Welzijnszorg Oosterschelderegio (inkoop), Steenwijkerland (inkoop), Súdwest Fryslân (inkoop), Regio Twente (FG), Zaanstad (FG),

Leveranciers: Centric, Decos, Flycatcher, KLANTINFOCUS, KPN, Metaobjects, Pink Roccade, ROXIT, SIM Groep, Topicus

Monitoring gebruik

Het is de bedoeling dat alle gemeenten de standaard verwerkersovereenkomst gebruiken bij nieuwe verwerkingen (bij voorbeeld bij een nieuwe aanbesteding of een nieuw contract) en bij lopende verwerkingen waarin per heden nog geen verwerkersovereenkomst is. Het bijhouden van het gebruik gebeurt op de volgende manier:

Bij gemeenten:

  • Bezoeken en registratie door accountmanagement van VNG Realisatie;
  • Signalen die binnenkomen bij de IBD-helpdesk en
  • Periodieke uitvraag bij gemeenten

Bij leveranciers:

  • Registratie door leveranciers van het gebruik in de VNG Realisatie softwarecatalogus
  • Signalen die binnenkomen bij de IBD-helpdesk
  • Signalen die binnenkomen bij de GIBIT-helpdesk

Heeft u vragen? Dan kunt u natuurlijk ook een e-mail sturen aan privacy@vng.nl.

 

Samen Organiseren

Samen Organiseren

Gemeenten organiseren steeds meer samen. Zo maken ze effectief gebruik van dezelfde collectieve voorzieningen en infrastructuur, van elkaar leren en elkaar versterken. Gezamenlijk organiseren maakt standaardisatie mogelijk, met maatwerk waar nodig.

lees hier meer

Gerelateerd