Skip to main content

Centric, PinkRoccade en de bewerkersovereenkomst

| IB&P | ,

Een bewerkersovereenkomst (BWO). Ook wel de schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker, waarin afspraken worden vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. De bewerkersovereenkomst vormt een belangrijk onderdeel binnen de informatiebeveiliging van de gemeente. Maar wat moet er in deze overeenkomst staan? Vanuit de Baseline Informatiebeveiliging Gemeenten (BIG),

is het de wens om concreet te specificeren welke maatregelen de bewerker dient te implementeren/na te leven op het gebied van informatiebeveiliging. In de praktijk zijn er echter verschillende varianten uitgewerkt. Zo hebben Centric en PinkRoccade in overleg met de gebruikersverenigingen en de IBD beide een format opgesteld en heeft de IBD zelf ook een BWO opgesteld. Maar welke variant is nu het meest geschikt?

Uitgangspunten

Om de veilige verwerking van persoonsgegevens te waarborgen dienen de verantwoordelijke en de bewerker duidelijke afspraken te maken wat betreft de taken en de verplichtingen van de bewerker richting de verantwoordelijke. De manier waarop dit wordt afgesproken staat niet vast, maar er is wel in de Wet bescherming persoonsgegevens beschreven wat er minimaal in de bewerkersovereenkomst dient te staan. De IBD heeft onlangs een interne notitie geschreven, waarin zij adviseert om in ieder geval afspraken te maken over de volgende zaken:

  1. De waarborgen die de leverancier biedt ten aanzien van technische en organisatorische maatregelen en de manier waarop de gemeente dit kan controleren.
  2. De wijze waarop de gemeente wordt geïnformeerd bij een beveiligingsincident.
  3. De aansprakelijkheid bij schade doordat in strijd met de wet wordt gehandeld.
  4. De mate waarin de dienstverlening voldoet aan de wettelijke eisen.

Punt drie en vier worden doorgaans goed beschreven in de verschillende BWO’s. De eerste twee punten worden daarentegen nogal verschillend verwoord als je kijkt naar de drie formats van de IBD, Centric en PinkRoccade.

Zoek de verschillen

Het grootste verschil tussen de BWO’s zit in de mate van detail. De IBD heeft een model opgesteld dat erg volledig en uitgebreid is. Zo zijn onder andere alle relevante BIG-maatregelen opgenomen in de bijlage. Zoals de IBD ook aangeeft is dit uiteraard het ‘ideaalplaatje’. Kortom wil je het maximale eruit halen dan kun je al deze maatregelen hanteren, maar je hebt als gemeente ook alle ruimte om hiervan af te wijken, mits je maar voldoet aan de minimale eisen, namelijk bovenstaande vier punten. De formats van Centric en PinkRoccade zijn daarentegen een stuk minder uitgebreid. Zo wordt in de BWO van Centric niet nader toegelicht wat er wordt bedoeld met ‘passende technische en organisatorische maatregelen’. Tevens wordt de wijze waarop de gemeente dient te worden geïnformeerd bij een beveiligingsincident per BWO verschillend beschreven.

In alle drie de formats staat dat de bewerker de verantwoordelijke moet informeren over beveiligingsincidenten en (mogelijke) datalekken. Echter wordt alleen in het format van de IBD beschreven dat dit binnen 24 uur na de eerste ontdekking dient te gebeuren. Hiernaast beschrijft de IBD dat de bewerker een gedetailleerd logboek moet bijhouden van alle inbreuken op de beveiliging. Evenals de maatregelen die in het vervolg op dergelijke inbreuken zijn genomen, waar bewerker op het eerste verzoek van de verantwoordelijke inzage in geeft. Dit staat niet in de andere twee formats opgenomen.

Tot slot beschrijven Centric en PinkRoccade enkel dat de partijen elkaar volledige medewerking dienen te verlenen bij een noodzakelijke melding richting de Autoriteit Persoonsgegevens (AP) en indien nodig aan de betrokkenen. De IBD gaat hier nog dieper op in en vermeld dat dit op zo kort mogelijke termijn dient te gebeuren.  Zijn er overeenkomsten te vinden in de verschillende formats? Jazeker. In alle overeenkomsten staat vermeld dat de bewerker het ‘doen van meldingen aan de toezichthouder(s)’ overlaat aan de verantwoordelijke.

Assurance en certificering

Tot slot, is het belangrijk dat in de BWO certificering en assurance is opgenomen. Certificering betreft het door een onafhankelijke, geaccrediteerde partij laten vaststellen of het managementsysteem van de betreffende organisatie voldoet aan alle eisen op een bepaald gebied. Een voorbeeld hiervan is de ISO27001. Het doel van assurance is om derde partijen, die vertrouwen op een dienst of product, de zekerheid te bieden dat die voldoet aan een overeengekomen normenkader. In dit geval is dat normenkader de BIG. De BWO van de IBD is daarin dus wel compleet (zie bijlage 2). Maar de vraag is of je als gemeente dit ‘ideaalplaatje’ wilt hanteren. Zoals de IBD zelf ook aangeeft kunnen de maatregelen uit de BIG ook worden aangepast.

Kortom; je moet als gemeente het lef hebben de bewerkersovereenkomst (IBD BWO) naar eigen smaak, binnen de kaders van bovenstaande vier punten, aan te passen en daarbij het liefst te differentiëren tussen verschillende typen bewerkers.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…