Standaard verwerkersovereenkomst gemeenten

Bijgewerkt: 23-1-2019

Gemeenten en hun leveranciers willen eenvoudiger tot realistische afspraken komen over het verwerken van persoonsgegevens. Daarom hebben gemeenten en VNG gezamenlijk aan een standaard verwerkersovereenkomst gewerkt. Het is de bedoeling dat de vaststelling van dit document de impasse doorbreekt in die gevallen waarin gemeenten met hun verwerkers niet tot een verwerkersovereenkomst zijn gekomen. Bij nieuwe verwerkingen wordt kostbare tijd en energie bespaard, omdat vooraf duidelijkheid is over de verwerkersovereenkomst.

De overeenkomst is tot stand gekomen in nauwe samenwerking met gemeenten en leveranciers. De standaard verwerkersovereenkomst is een geheel nieuwe aanpak voor gemeenten. De overeenkomst regelt op een uniforme wijze de afspraken rondom de verwerking van persoonsgegevens en bevat slechts die zaken die niet al op een andere wijze zijn geregeld zoals bijvoorbeeld in de wet of in de hoofdovereenkomst.

Proces vaststelling

Na publicatie van de eerste versie hebben gemeenten, leveranciers en derde partijen input gegeven voor de verdere aanscherping. Hierop is een constructieve dialoog gestart met verschillende partijen. Op 6 september is de overeenkomst en het verdere proces besproken bij de introductiedag van het College van Dienstverleningszaken en op 7 september sprak de Taskforce Samen Organiseren over de binnengekomen feedback. De Taskforce Samen Organiseren roept gemeenten en leveranciers op om, voor zover dit nog niet is gebeurd, inhoudelijke feedback op te sturen en mee te helpen om de overeenkomst nog verder te verbeteren.

Hierop werkten de IBD en het team Privacy van VNG Realisatie aan de verfijning van het document is een toetsgroep ingesteld van CISO’s, FG’s en inkopers van gemeenten aangevuld met een adviserende vertegenwoordiging van leveranciers. Het document is besproken bij de regiobijeenkomsten van de IBD, de regiobijeenkomsten van het Team Privacy en de leveranciersbijeenkomsten van VNG Realisatie.

De Taskforce Samen Organiseren heeft geadviseerd om na een zorgvuldig proces het document door te geleiden naar het College van Dienstverleningszaken en vervolgens naar het VNG Bestuur. Het bestuur zal het document vaststellen als standaard voor gemeenten, volgens het principe van verplichtende zelfregulering.

Het vaststellingsproces is als volgt:

  • VNG Realisatie heeft alle commentaar (binnengekomen voor november 2018) gepubliceerd op de IBD Community.
  • Eenvoudige vragen zijn direct beantwoord. Vragen waar discussie uit volgde zijn gebundeld en met advies voorgelegd aan de toetsgroep van gemeenten.
  • De Klankbordgroep (bestaande uit leveranciers) adviseerde de toetsgroep
  • De toetsgroep nam op 12 november een beslissing over de inhoud van de verwerkersovereenkomst op basis van de ingediende adviezen, hierop is naderhand nog een gezamenlijke bijeenkomst van gemeenten en leveranciers geweest om enkele wijzigingen te verduidelijken/
  • VNG Realisatie heeft de feedback verwerkt in versie 1.11 van de overeenkomst.
  • VNG Realisatie heeft versie 1.11 van de overeenkomst voorgelegd aan het College van Dienstverlening. Het college heeft op 6 december positief geadviseerd over de standaardverklaring van de overeenkomst per 1-1-2020 met een aanloopperiode van pas-toe-of-leg-uit vanaf 1-1-2019.
  • De overeenkomst wordt voorgelegd aan de landsadvocaat en de Autoriteit Persoonsgegevens.
  • De overeenkomst staat begin 2019 op de agenda van de Commissie Informatiesamenleving, het VNG-Bestuur en de Algemene Ledenvergadering van de VNG.

Beheer & wijzigingen

Het gebruik van een standaard verwerkersovereenkomst is nieuw voor gemeenten. Het concept is niet nieuw, dat wordt al toegepast in de onderwijssector. Gemeenten en leveranciers kunnen hun ervaringen delen via privacy@vng.nl – deze ervaring is waardevol bij de doorontwikkeling van de standaard. Hiervoor is een beheermodel opgezet. Dit beheermodel is als volgt:

  • Gemeenten en leveranciers kunnen vragen, suggesties en verbetervoorstellen voor de standaard verwerkersovereenkomst indienen bij één centraal punt: privacy@vng.nl;
  • Bij VNG Realisatie worden de voorstellen opgeslagen;
  • De voorstellen en suggesties worden voorgelegd aan de Beheergroep VWO.
  • De leden van de Beheergroep zijn momenteel 13 gemeentelijke vertegenwoordigers (FG’s, CISO’s en inkopers) en (maximaal) 8 leveranciers;
  • Het lidmaatschap van de Beheergroep zal vanaf 2020 regelmatig wijzigen om zoveel mogelijk gemeenten en leveranciers de kans te geven hier aan deel te nemen.
  • We streven naar een goede afspiegeling van kleine, middelgrote en grote gemeenten. In principe zullen hierbij de G5 en de grote leveranciers een vaste plaats in de Beheergroep VWO hebben;
  • Tijdens de bijeenkomst van de Beheergroep VWO bepalen de leden of zij akkoord gaan met de voorgestelde wijzigingen. Aangenomen wijzigingen van ingrijpende aard worden voorgelegd aan het College van Dienstverleningszaken.
  • De leden van de Beheergroep VWO hebben aangegeven viermaal per jaar bij elkaar te willen komen. Het eerste overleg is zodoende gepland voor eind maart 2019.

VNG monitort het gebruik onder gemeenten op de volgende wijze:

Het is de bedoeling dat alle gemeenten de standaard verwerkersovereenkomst gebruiken bij nieuwe verwerkingen (bij voorbeeld bij een nieuwe aanbesteding of een nieuw contract) en bij lopende verwerkingen waarin per heden nog geen verwerkersovereenkomst is. De adoptie van de standaard verwerkersovereenkomst dient te worden bijgehouden, dit gebeurt op de volgende manier:

Bij gemeenten:

  • Bezoeken en registratie door accountmanagement van VNG Realisatie;
  • Signalen die binnenkomen bij de IBD-helpdesk en
  • Periodieke uitvraag bij gemeenten

Bij leveranciers:

  • Registratie door leveranciers van het gebruik in de VNG Realisatie softwarecatalogus
  • Signalen die binnenkomen bij de IBD-helpdesk
  • Signalen die binnenkomen bij de GIBIT-helpdesk

Heeft u vragen? Dan kunt u natuurlijk ook een e-mail sturen aan privacy@vng.nl.

 

 

Samen Organiseren

Samen Organiseren

Gemeenten organiseren steeds meer samen. Zo maken ze effectief gebruik van dezelfde collectieve voorzieningen en infrastructuur, van elkaar leren en elkaar versterken. Gezamenlijk organiseren maakt standaardisatie mogelijk, met maatwerk waar nodig.

lees hier meer

Gerelateerd