Vanuit de AVG moet je als gemeente zorgen voor de beveiliging van de persoonsgegevens die je verwerkt. Dit geldt ook wanneer je deze gegevens laat verwerken door een derde partij. Om ervoor te zorgen dat deze partij de juiste beveiligingsmaatregelen neemt, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerker zich aan de AVG houdt. Waarom dit belangrijk is en hoe je dit doet, lees je in deze blog.

Download hier deze blog incl. checklist

Wat is een verwerkersovereenkomst?

De naam zegt het eigenlijk al: het is een overeenkomst tussen de ‘verwerkingsverantwoordelijke’ en een ‘verwerker.’ De verwerkingsverantwoordelijke beslist waarom en hoe persoonsgegevens worden gebruikt. De ‘verwerker’ is degene die deze gegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. Het doel van een verwerkersovereenkomst is om ervoor te zorgen dat het verwerken van persoonsgegevens veilig en volgens de wet gebeurt. In de overeenkomst staan afspraken over wat de verwerker wel en niet mag doen met de persoonsgegevens die hij krijgt. De verwerker mag de gegevens alleen verwerken zoals afgesproken in de overeenkomst, en dus niet voor eigen gebruik. Wil je hier meer over weten? Lees dan ook onze eerdere blog ‘Wat zijn mijn plichten als verwerkingsverantwoordelijke?’.

De fasen van een verwerkersovereenkomst

Het proces van een verwerkersovereenkomst bestaat uit drie hoofdfasen: opstellen, ondertekening en beheer.

• Opstellen: In deze fase leg je alle voorwaarden vast. Dit betekent het identificeren van de partijen, beschrijven waarvoor de gegevens worden gebruikt en welke beveiligingsmaatregelen worden genomen.
• Ondertekening: Dit is de formele goedkeuring door beide partijen. Vanaf dat moment gaan de juridische verplichtingen in.
• Beheer: Hier begint het echte werk. Nadat je een verwerkersovereenkomst hebt afgerond, moeten beide partijen zich aan de afspraken houden. Dit betekent monitoren, periodieke evaluaties en indien nodig de overeenkomst aanpassen.

In deze blog gaan we dieper in op de laatste fase, het beheer. Deze fase wordt vaak vergeten maar is ontzettend belangrijk.

Hoe beheer je een verwerkersovereenkomst?

Het beheren van een verwerkersovereenkomst is cruciaal om ervoor te zorgen dat je blijft voldoen aan de AVG-richtlijnen en dat persoonsgegevens goed beschermd zijn. Beheer is geen saaie administratieve taak; het is een continu proces dat ervoor zorgt dat gegevens altijd goed beveiligd zijn. Er zijn een aantal zaken om over na te denken en stappen die je moet nemen nadat de overeenkomst is afgerond. Het gaat o.a. om de volgende stappen:

1. Monitoring van naleving: Toezicht houden op hoe de verwerker met de gegevens omgaat. Dit betekent met enige regelmaat controleren of de verwerker zich aan de overeengekomen protocollen, rapportages en beveiligingsmaatregelen houdt.
2. Periodieke evaluaties: Controleren of de verwerker zich aan de afspraken in het contract houdt. Dit kan bijvoorbeeld halfjaarlijks of jaarlijks gebeuren, afhankelijk van hoe gevoelig de gegevens zijn. Regelmatige controles helpen om zwakke plekken te vinden en op tijd in te grijpen. Het kan ook nodig zijn om bij aangepaste of gewijzigde dienstverlening aanvullende afspraken te maken.
3. Audits: Het uitvoeren van interne en externe audits om de beveiligingsmaatregelen en de naleving te controleren. Interne audits kunnen door de eigen interne audit afdeling worden gedaan, terwijl externe audits door een onafhankelijke partij een objectieve beoordeling geven. Soms staat in het contract al dat leveranciers een onafhankelijk auditrapport over hun beveiligingsmaatregelen moeten leveren.
4. Rapportages: Documenteren van bevindingen en rapporteren aan de relevante stakeholders binnen de gemeente. Dit zorgt voor transparantie en maakt het mogelijk om snel actie te ondernemen als er problemen worden geconstateerd. Denk hierbij aan rapportages over de naleving van ISO27001/Baseline Informatiebeveiliging Overheid (BIO), een security incident rapportage, of – in geval van een incident – een evaluatierapport met een gedetailleerde analyse van een specifiek beveiligingsincident en de daaropvolgende respons.

Tips om het beheer goed in te richten

Het beheren van verwerkersovereenkomsten kan best een uitdaging zijn, vooral voor afdelingen die specifieke software of SaaS-oplossingen gebruiken. Om dit proces in goede banen te leiden, is een goede implementatie en borging van dit proces aan te raden. Hier zijn een paar tips om dit effectief te regelen:

1. Leg de rollen en verantwoordelijkheden vast: Wijs duidelijke verantwoordelijkheden toe voor het beheer van de verwerkersovereenkomsten. Meestal is de lijnmanager van de afdeling waar de dienstverlening plaatsvindt (vaak proceseigenaar) verantwoordelijk voor het toezicht op de naleving en uitvoering van de overeenkomsten.
   
   
2. Zorg dat je de verplichtingen begrijpt: Lees de verwerkersovereenkomst goed door en zorg dat iedereen binnen de afdeling die met de software of SaaS-oplossing werkt, de afspraken begrijpt. Dit gaat om beveiligingsmaatregelen, meldingsvereisten bij datalekken en de rechten en plichten van beide partijen. Documenteer de belangrijkste verplichtingen en verantwoordelijkheden uit de overeenkomst en bespreek deze tijdens een bijeenkomst of werkoverleg.
   
   
3. Stel een monitoringplan op: Bepaal de belangrijkste onderdelen van monitoring: beveiliging, prestaties en naleving. Controleer of de verwerker zich aan de afgesproken beveiligingsmaatregelen, zoals encryptie en toegangscontroles houdt, houd de prestaties bij om te zorgen dat alles volgens afspraak gaat, en check of de verwerker zich aan alle relevante wet- en regelgeving houdt. Stel samen met de leverancier kernprestatie-indicatoren (KPI’s) en metrics op als die nog niet in het contract zijn opgenomen.
   
   
4. Zorg voor evaluaties en rapportages: Voer periodieke evaluaties uit om te controleren of de verwerker zich aan de afspraken houdt, werk hierbij bijvoorbeeld samen met het ICT-team. Overweeg externe audits door een onafhankelijke partij voor een objectieve beoordeling en vraag maandelijks prestatierapporten op van de verwerker. Analyseer deze rapporten en onderneem actie als er afwijkingen zijn.
   
   
5. Zorg voor training en bewustwording: Zorg ervoor dat alle medewerkers die betrokken zijn bij de verwerking van persoonsgegevens goed zijn opgeleid over de inhoud en het belang van verwerkersovereenkomsten. Organiseer kennissessies over de verplichtingen van de verwerkersovereenkomst en de procedures voor het melden van incidenten. Zorg dat iedereen zich bewust is van hun rol in het monitoringproces. Dit draagt bij aan het voorkomen van inbreuken op de privacy.
   
   
6. Zorg voor samenwerking en goede communicatie: Het is verstandig om regelmatig contact te houden met de verwerker. Organiseer eventueel maandelijks, per kwartaal of halfjaarlijks vergaderingen met de verwerker om de voortgang en naleving te bespreken. Zorg voor duidelijke communicatiekanalen tussen de afdeling, het ICT-team en de verwerker. Dit kan helpen bij het oplossen van eventuele problemen met betrekking tot de verwerking van persoonsgegevens en het waarborgen van een goede communicatie over gegevensverwerking.
   
   
7. Zorg voor continue verbetering: Evalueer regelmatig de monitoringstrategie en pas deze aan op basis van de resultaten en feedback van audits en rapporten. Implementeer verbeteringen om de monitoring te versterken en de naleving van de verwerkersovereenkomst te waarborgen.

De frequentie van monitoring en evaluatie hangt af van de risicoanalyse die voor de gegevensverwerking is uitgevoerd. Bij gegevens die een hoog risico vormen voor de betrokkenen (hoge impact) en waarbij de kans dat er iets misgaat reëel is, is het aan te raden om de naleving van afspraken vaker te controleren. Dit in tegenstelling tot applicaties waar het risico lager is. Zie voor meer informatie hierover ook de volgende blogs: ‘Inzicht in je risico’s: onmisbaar voor elke gemeente’, ‘Risicomanagement, dichterbij dan je denkt’ en ‘Risicoanalyse aan de hand van het MAPGOOD-model’.

Conclusie

Het afsluiten van een verwerkersovereenkomst is pas het begin als het gaat om het waarborgen van privacy en gegevensbescherming. Het is belangrijk om proactief te blijven handelen en de nodige stappen te ondernemen om ervoor te zorgen dat de overeenkomst daadwerkelijk wordt nageleefd en up-to-date blijft volgens de geldende wet- en regelgeving. Door de bovengenoemde stappen te volgen, kun je ervoor zorgen dat je verwerkersovereenkomsten niet alleen aan de AVG-richtlijnen voldoen, maar ook effectief worden beheerd en bijgewerkt om te blijven voldoen aan de eisen voor gegevensbescherming. Het voldoen aan de AVG is niet het doel van zo’n overeenkomst, het gaat er om dat de gegevens ook effectief worden beschermd.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P kan je helpen bij het ontwikkelen en opzetten van een ambassadeursprogramma. Neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.