Vanuit de AVG ben je als organisatie verplicht om te zorgen voor de beveiliging van de persoonsgegevens die je als organisatie verwerkt, dit geldt dus ook wanneer je persoonsgegevens laat verwerken door een derde partij. Jouw organisatie blijft namelijk te allen tijde eindverantwoordelijke. Om te zorgen dat de verwerker ook de juiste beveiligingsmaatregelen treft moet je afspraken maken met de verwerker. Doorgaans gebeurt dit in een verwerkersovereenkomst. We geven je vijf tips voor wat je er in zou moeten zetten.
Waarom belangrijk?
Het afsluiten van een verwerkersovereenkomst is niet iets nieuws sinds de AVG van kracht is. Ook onder de Wbp had elke organisatie de verplichting om afspraken te met met een verwerker (toen nog bewerker genoemd). We spraken toen over de zogenaamde ‘bewerkersovereenkomst’. Wel is door de komst van de AVG het belang van het hebben van zo’n verwerkersovereenkomst weer aan het licht gekomen. En niet onopgemerkt, veel organisaties hebben verzoeken gekregen voor het afsluiten van een verwerkersovereenkomst als die er nog niet was, ook gemeenten. Op deze manier kan de gemeente er op toe zien dat de verwerker ook maatregelen treft die nodig zijn om te voldoen aan de beveiligingseisen van de AVG. Maar wat houdt een verwerkersovereenkomst nu precies in? Wat moet hier minimaal in staan? En wie sluit deze af?
Tips bij het afsluiten van een overeenkomst
Het woord ‘verwerkersovereenkomst’ zegt het eigenlijk al: het gaat over een overeenkomst (contract) tussen een verwerker en verwerwerkersverantwoordelijke. Niet elke gemeente heeft het beheer en de onderhandeling voor het afsluiten van deze overeenkomst centraal belegd, bijvoorbeeld bij de juridische afdeling. Over het beheer van de overeenkomst schreven we eerder deze blog. In veel gevallen zie je dat ook (niet juridisch onderlegde) medewerkers met leveranciers een verwerkersovereenkomst afsluiten. Zo gezegd, zo gedaan! De VNG heeft hier een template voor gemaakt (die wat stof deed opwaaien). Toch is het wel belangrijk om bij het opstellen van een verwerkersovereenkomst op een aantal zaken (extra goed) te letten. Neem in ieder geval het volgende op in de verwerkersovereenkomst:
1. Het doel van de verwerking
Het moet duidelijk zijn wat de verwerker precies doet en waar deze overeenkomst voor getekend wordt. Bijvoorbeeld om wat voor dienstverlening het gaat, waarom worden deze gegevens door de verwerker verwerkt, en wat doet de verwerker weer met deze gegevens? Zorg dat je het doel helder en duidelijk omschrijft. Leg ook altijd de relatie met de ‘bovenliggende’ overeenkomst.
2. De technische en organisatorische beveiligingsmaatregelen
Leveranciers (hier: verwerkers) dienen net als de verwerkersverantwoordelijke ‘passende organisatorische en technische beveiligingsmaatregelen’ te nemen. Maar wat verstaan we onder passend? Dit kan voor beide partijen verschillen. Daarnaast mist vaak welke technische en organisatorische maatregelen precies genomen worden. Het is belangrijk om hier concrete afspraken over te maken, zodat hier geen verschillende verwachtingen over zijn. Beschrijf welke maatregelen er minimaal moeten worden genomen. Let op, een verwijzing naar een normenkader zoals de BIG is hierbij niet voldoende. Welke BIG maatregel van toepassing is, is namelijk afhankelijk van de dienstverlening/verwerking. Maak het daarom specifiek en benoem de maatregelen die door de verwerker genomen moeten worden. Wees niet lui door te zeggen dat de verwerker gewoon moet voldoen aan de complete BIG. Last but not least, kan het ook handig zijn om een risicoanalyse te maken van je verwerkingen. Hierbij deel je de verwerking in drie risico categorieën in: laag, medium of hoog. Afhankelijk van het risicoprofiel bepaal je dan de beveiligingsmaatregelen. Dit voorkomt dat je bij elke overeenkomst het wiel opnieuw uitvindt
3. De mogelijkheid tot het toetsen van de verwerker
Vaak wordt er in een overeenkomst wel beschreven dat er een ‘recht is om te auditen’. In de praktijk wordt dit echter zelden gedaan. Het is aan te raden om ook hier een risicoanalyse te doen op de verwerkingen. Indien je een risicoanalyse hebt opgesteld voor de beveiligingsmaatregelen, zoals beschreven in het vorige punt, dan kun je deze gebruiken. Stel voor de verwerkingen met een hoog risico een auditkalender op, waarbij er elk jaar een aantal leveranciers onder de loop worden genomen door middel van een (kleine) toets. Afhankelijk van de uitslag kan hierna een volledige audit plaatsvinden. Niet elke verwerking hoeft jaarlijks getoetst te worden bij de verwerker!
4. De rechten en plichten van de verwerkersverantwoordelijke
In het geval van een datalek of verzoek van betrokkenen om zijn gegevens te verwijderen, moet de verwerker meewerken. Leg in de overeenkomst een standaard procedure vast waar de leverancier/verwerker zich aan moet houden indien er een datalek plaatsvindt. Doe dit ook met betrekking tot de rechten van betrokkenen. Op deze wijze is het vooraf helder wat je van elkaar kunt verwachten. Het kan immers niet zo zijn dat de verwerker hier op de stoel van de verwerkersverantwoordelijke gaat zitten door het datalek zelf te melden bij de AP of zelf de uitoefening van een privacyrecht door een betrokkene afhandelt.
5. De omgang met de data bij beëindiging van de dienstverlening
Wanneer de dienstverlening is beëindigd en de verwerker niet langer persoonsgegevens verwerkt, moet je er als verantwoordelijke zeker van zijn dat de verwerker deze gegevens definitief verwijdert, vernietigt of teruggeeft. Ook hier zie je in de praktijk vaak dat dit wel benoemd wordt, maar niet concreet beschreven wordt op welke wijze dit moet gebeuren en/of er wordt gecontroleerd/aangetoond dat dit ook daadwerkelijk is gebeurd. Maak hier bij het opstellen van de overeenkomst al concrete afspraken over. Het verwijderen van gegevens is namelijk niet in alle gevallen een kwestie van een druk op de DELETE-knop. Ook in het geval van teruggaven van gegevens moeten er duidelijke afspraken zijn in welke vorm dit moet gebeuren en binnen welke termijn na beëindiging van het contract.
Let op, indien de verwerker weer een sub-verwerker in dienst neemt dan gelden hiervoor dezelfde verplichtingen en afspraken als voor de verwerker. Indien de sub-verwerker zijn plichten niet nakomt, is de verwerker (en dus niet de sub-verwerker) volledig aansprakelijk.
Risicoanalyse – vervolg?
In bovenstaande tips (3 en 4) spreken we over een risicoanalyse op een verwerking, om te bepalen of de verwerking een hoog, medium of laag risico heeft. Hoe je dit precies doet? Daar kan in een nieuwe blog uitgebreid op ingaan worden indien hier vraag naar is. Wel geef ik je alvast een aantal handvatten mee. Indien je een risicoanalyse wilt uitvoeren op een verwerking, stel dan in ieder geval de volgende vragen om de risicocategorie te bepalen:
- Welke categorieën gegevens worden verwerkt? Gaat het bijvoorbeeld om bijzondere gegevens zoals medische gegevens?
- Hoe groot is de verwerking (omvang)? Gaat het om alle burgers binnen een gemeente of een specifieke groep?
- Wanneer het gaat om een specifieke groep, is dit dan een kwetsbare groep van betrokkenen? Bijvoorbeeld kinderen, medewerkers of bewoners van een blijf-van-mijn-lijfhuis?
- Waar worden de gegevens in de verwerking allemaal mee gekoppeld? Dus met welke andere systemen?
Heb je na het lezen van deze blog een specifieke vraag of wil je graag dat ik in een volgende blog uitgebreider inga op het uitvoeren van een risicoanalyse op verwerkingen? Laat het ons weten!
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
- Waarom is het lastig om structureel DPIA’s uit te voeren? - 8 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!