Slaan we niet een beetje door? Afspraken met leveranciers en de verwerkersovereenkomst
Programma Rol IBD bij verwerkersovereenkomsten Verwerkersovereenkomsten, waarom? met wie? waarover? wanneer niet GIBIT Vragen en antwoorden over verwerkersovereenkomsten 2
Verwerkersovereenkomst Model verwerkersovereenkomst Tot stand gekomen na overleg met enkele addendumleveranciers en gebruikersverenigingen Meer aandacht voor soort dienstverlening Rol IBD Onafhankelijk, Geen partij in de totstandkoming! Kennispartner Op verzoek van: Gemeenten Gebruikersverenigingen Addendumleveranciers 3
Verwerkersovereenkomst, waarom? AFSPRAKEN MAKEN OVER TAKEN EN VERANTWOORDELIJKHEDEN IN HET KADER VAN VEILIGE VERWERKING VAN PERSOONSGEGEVENS 4
Verwerkersovereenkomst, met wie? Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; 5 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Verwerkersovereenkomst, waarover? Onderwerp en doel Welke persoonsgegevens Beveiligingsmaatregelen en -rapportages Beveiligingsincidenten en datalekken locatie van de data Verstrekking van persoonsgegevens aan derden 6
Verwerkersovereenkomst, waarover? Geheimhouding Verzoeken van betrokkenen Aansprakelijkheid Controle-/auditmogelijkheden Wijzigingen of beëindiging van de verwerkersovereenkomst Overdracht en vernietiging van persoonsgegevens na afloop van de overeenkomst Bewaar-, back-up- en vernietigingsprocessen 7
Wanneer niet? Als er geen persoonsgegevens worden verwerkt Gemeente stelt doel en middelen van het verwerken niet zelf vast Dienstverlener kan zelf niet bij persoonsgegevens bv. versleutelde backupdienst waarbij de gemeente zelf als enige de sleutel heeft Bindende afspraken tussen de verantwoordelijke en verwerker kunnen blijken uit andere rechtshandelingen 8
GIBIT De GIBIT geldt als (basis)verwerkersovereenkomst 9 gegevens niet voor eigen doeleinden mag gebruiken gegevens op passende wijze moet beveiligen beschrijving van de genomen beveiligingsmaatregelen louter binnen de EER worden verwerkt gegevens geheim moeten worden gehouden gemeente de bewerker mag controleren uitoefening van rechten door de betrokkene de leverancier in beginsel verwijst naar de gemeente gemeenten het beveiligingsbeleid van de leverancier dient te dicteren, minimaal toetsen of het door de leverancier gehanteerde beleid aan minimaal dezelfde normen voldoet Meldplicht incidenten Aansprakelijkheid
GIBIT Waar de afspraken uit de GIBIT niet volstaan, kan een aanvullende of afwijkende verwerkersovereenkomst worden gesloten VWO prevaleert op hetgeen in GIBIT is bepaald Afdeling P werkt aan aanvullend normenkader bij GIBIT 10
Voorbeelden Softwareleverancier, hosting en beheer van een webportaal die toegang geeft tot de persoonsgegevens die zijn opgeslagen op de eigen databaseserver Is gemeente technisch in staat is de toegang af te schermen? 11
Voorbeelden On premise software 1.Leverancier doet on premise onderhoud 2. Leverancier doet onderhoud op afstand 12
Voorbeelden OTAP omgeving O en T bij leverancier, Testdata niet geanonimiseerd T en A bij Gemeente, Testdata niet geanonimiseerd 13
Voorbeelden Een cloudleverancier van fiscale software neemt verwerkersovereenkomst op in de Algemene Voorwaarden cloudleverancier voldoet aan verplichtingen De verwerkingsverantwoordelijke is echter de partij die op basis van de wet moet zorgen voor een verwerkersovereenkomst. 14
Voorbeelden Gemeente besteed de verwerking van persoonsgegevens uit een andere gemeente of overheidsinstelling Vraag of de gemeente of overheidsinstelling aan wie het werk wordt uitbesteed daadwerkelijk als verwerker optreedt, of de persoonsgegevens voor eigen doeleinden verwerkt 15
Voorbeelden Is er voor de gegevensuitwisseling tussen een gemeente en een zorgverlener, een verwerkersovereenkomst nodig? Heeft een gemeente of zorgaanbieder zelf de regie over welke persoonsgegevens binnen de organisatie worden verwerkt voor welk doel? 16 Is er sprake van een relatie waarbij bijvoorbeeld de zorgaanbieder ten behoeve van de gemeente persoonsgegevens verwerkt?
IBD producten Model vw overeenkomst Factsheet vw overeenkomst & voorbeelden Gibit 17