AVG@JenV
AVG@JenV
Checklist verwerkersovereenkomsten
De verplichtingen van de AVG worden niet alleen opgelegd aan de verantwoordelijke of eigenaar van de gegevens, maar ook aan de ‘verwerkers’ van die gegevens. Het is onder de AVG verplicht dat de verwerkingsverantwoordelijke en de verwerker (voor- heen bewerker) afspraken maken over de bescherming van persoonsgegevens en daarover een verwerkersovereenkomst afsluiten. Is dat nieuw? Nee, dat moest onder de Wbp ook al. Wel nieuw is dat er een aantal verplichte onderwerpen in de AVG zijn bijgekomen die in het inkooptraject aan de orde moeten komen en je in de verwerkers- overeenkomst moet vastleggen.
Deze checklist geeft antwoord op de volgende vragen:
A. Wat is een verwerkersovereenkomst?
B. Wanneer heb je bij uitbesteding van diensten een verwerkersovereenkomst nodig?
C. Aan welke eisen moet een verwerkersovereenkomst voldoen?
D. Hoe toon ik aan dat mijn verwerkersovereenkomst goed is?
Door de checklist in te vullen voor een verwerkersovereenkomst, geldt deze als bewijs dat de contracteigenaar de overeenkomst heeft gereviewd, zie ook onder punt D.
A. Verwerkersovereenkomsten bij de Rijksoverheid
Een verwerkersovereenkomst - met de overwegingen en bijbehorende bijlagen erbij - is een juridisch contract voor uitbesteding van diensten. De verwerkersovereenkomst legt de afspraken en voorwaarden vast waaronder een verantwoordelijke persoonsgegevens laat verwerken door een verwerker. Een overeenkomst is bijvoorbeeld nodig als een zorginstelling (verantwoordelijke) patiëntgegevens in de Cloud opslaat bij een IT-leverancier (verwerker).
De Verwerkersovereenkomst kan alleen in combinatie met een (hoofd)Overeenkomst worden afgesloten. Voor de (hoofd)Overeenkomst wordt het model Dienstverlenings- overeenkomst gebruikt waarop de ARVODI / ARBIT van toepassing zijn. Op de Verwerkersovereenkomst zijn dus ook de bepalingen van de (hoofd)Overeenkomst van toepassing, tenzij daar in de bewerkersovereenkomst expliciet van wordt afgeweken.
Op contracten van de Rijksoverheid zijn altijd de Algemene Rijksvoorwaarden van toepassing. De ARVODI en ARBIT modelovereenkomsten zijn vernieuwd en aangepast op onder andere de eisen die de AVG stelt. Op rijksportaal1 vind je de altijd de meest recente versies van verwerkers- overeenkomsten. De nieuwe modellen werden op
04 december 2017 gepubliceerd.
1 Ook op XXXXXX.xx (Expertisecentrum Aanbesteden van het Ministerie van Economische Zaken en Klimaat) vind je de model- en verwerkovereenkomsten van ARVODI en ARBIT.
Deze overeenkomsten zijn inhoudelijk nagenoeg gelijk en bevatten drie bijlagen:
1. De Verwerking(en) van Persoonsgegevens;
2. Passende technische en organisatorische maatregelen;
3. Maatregelen in verband met de meldplicht datalekken.
B. Wanneer is een verwerkers- overeenkomst nodig
Sinds de Meldplicht Datalekken op 1 januari 2016 is ingevoerd, gelden er al meer eisen voor een verwerkers- overeenkomst. Dat betekent dat je ook alle verwerkers- overeenkomsten die ouder zijn daarop moet reviewen.
Tip | start met de overeenkomsten van hoog-risico verwerkingen2 met privacygevoelige persoonsgegevens3. Voor die verwerkingen is het namelijk (veel) waarschijnlij- ker dat eventuele datalekken moeten worden gemeld aan de Autoriteit Persoonsgegevens en betrokkenen.
2 Zie Richtsnoeren van 4 april 2017, WP 248, p. 7-12 van de Europese privacytoezichthouders.
3 Gevoelige persoonsgegevens zijn bijvoorbeeld: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, identificerende genetische of biometrische gegevens, medische gegevens, seksueel gedrag of geaardheid, gegevens van kwetsbare personen zoals kinderen en alle soortgelijke persoonsgegevens.
Is een verwerkingsovereenkomst nodig als de verwerker4 | Ja | Nee |
a. Valt onder de verantwoordelijkheid minister of hoogste leidinggevende5 (bij JenV bijvoor- beeld: CJIB, IND, ..) | • | |
b. Een ZBO met rechtspersoonlijkheid of RWT is (COA, Raad voor Rechtsbijstand, Autoriteit Persoonsgegevens, ..) | • | |
c. Generieke diensten levert binnen de rijksdienst (P-Direkt, FM Haaglanden, Doc-Direkt, SSC-ICT Haaglanden, ..) | • | |
d. Een overheidspartij is buiten de rijksdienst (gemeente, provincie, ..) | • | |
e. Een (commerciële) partij is buiten de rijksdienst (Ordina, Capgemini, Atos, ..) | • |
Bij punt a. valt bijvoorbeeld het CJIB inclusief het reken- centrum onder de verantwoordelijkheid van de minister van JenV. In die situatie zou een verwerkersovereenkomst erop neerkomen dat de minister een contract met zichzelf sluit, wat natuurlijk onnodig is.
Blijf praktisch
Omgekeerd is het ook niet nodig een aparte verwerkings- overeenkomst op te stellen als de hoofdovereenkomst al alle verplichte bepalingen bevat.
Formeel geen verwerkingsovereenkomst nodig? Maak wel afspraken!
Maar ook als een formele verwerkersovereenkomst niet nodig is, blijft het nuttig en vooral verstandig om afspra- ken over de verwerkingen tweezijdig vast te leggen: welke gegevens betreft het, wie verwerkt ze, wat is het beveili- gingsniveau en hoe dit wordt geborgd, afspraken voor de afhandeling van een (vermeend) datalek, etc.
Hiervoor komt via de CBA - vermoedelijk begin januari 2018 - 2017 een protocol dat je kunt gebruiken.
4 Deze tabel gaat uit van de Minister als verwerkingsverantwoorde- lijke. Wanneer dat niet het geval is, is de stelregel: als de overheids- organisatie die verwerker is onder de verantwoordelijkheid van een ander verwerkingsverantwoordelijke valt, is een verwerkersovereen- komst noodzakelijk.
5 Check bij twijfel het Organisatiebesluit Ministerie van Justitie en Veiligheid [geldend vanaf 06 december 2017].
C. Checklist eisen aan een verwerkersovereenkomst
Hieronder de punten waar je op moet letten als je een nieuwe verwerkersovereenkomst opstelt of (een bestaande) reviewt.
1. De beveiligingseisen in het contract zijn gebaseerd op een goedgekeurde risicoanalyse, quickscan BIR of PIA, waarin het risico van de verwerking op de rechten en vrijheden van de betrokkene zijn meegenomen.
NB | de verantwoordelijke doet uitsluitend een beroep op verwerkers die afdoende garanties bieden (bijvoorbeeld door aansluiting bij gedragscode of certificering) en over een beveiliging beschikken die voldoet aan de eisen van AVG.
2. Reguliere contractuele informatie is opgenomen, zoals:
a. Identificatie partijen, begrippen, contactpersonen, totstandkoming, duur, wijziging en (voortijdig) einde van de overeenkomst;
b. De leveringsvoorwaarden van opdrachtnemer zijn niet van toepassing verklaard.
3. Als ‘Voorwerp’ van overeenkomst is opgenomen: opdrachtnemer verwerkt gegevens namens opdracht- gever. Benoem hierbij de categorieën van persoons- gegevens.
En in de bepalingen onder het voorwerp van de overeen- komst moet in ieder geval het volgende geregeld zijn:
a. Opdrachtnemer mag geen gegevens verwerken voor andere doelen dan in deze overeenkomst zijn gespecificeerd en bijvoorbeeld zonder toestemming gegevens verstrekken aan derden;
b. Als opdrachtnemer wettelijk verplicht is gegevens te verstrekken, dan meldt de opdrachtnemer de verwerkingsverantwoordelijke dat wettelijk voor- schrift voorafgaand aan de verstrekking, tenzij die wetgeving deze kennisgeving verbiedt;
c. Opdrachtnemer is verplicht beveiligingsincidenten onmiddellijk te melden, rechten van betrokken te waarborgen en bewaartermijnen na te leven conform toepasselijke wetten (o.a. WBP, AVG) en gespecifi- ceerde regelgeving (o.a. geheimhouding, beveiligingseisen);
d. Opdrachtnemer ondersteunt opdrachtgever bij de invulling van diens wettelijke plichten;
e. Opdrachtnemer zorgt voor adequate organisatorische en technische beveiliging, rapporteert periodiek over aandachtspunten daarin, werkt mee aan controles op deze verwerkingen en verbetert de beveiliging op aanwijzing van opdrachtgever;
f. Opdrachtnemer heeft geen eigendomsrechten en zeggenschap over doel en (verwerkings)middelen van gegevens;
g. Opdrachtnemer verwerkt geen gegevens in (eigen) vestigingen buiten de EU;
h. Opdrachtnemer schakelt geen derden in voor de verwerking, tenzij de opdrachtgever daarmee schriftelijk instemt en (aanvullende) voorwaarden van inzet geeft. Stemt de opdrachtgever in met de inzet van derden, dan sluit opdrachtnemer met deze subverwerkers overeenkomsten met daarin alle relevante bepalingen uit deze overeenkomst. Als subverwerkers hun verplichtingen voor beveiliging niet nakomen, blijft opdrachtnemer volledig aanspra- kelijk voor eventuele schade.
4. Bij (risico’s op) datalekken en incidenten:
a. Treft opdrachtnemer onmiddellijk adequate maatre- gelen om de gevolgen van het incident te beperken en herhaling te voorkomen;
b. Informeert opdrachtnemer onmiddellijk de contact- persoon van opdrachtgever en houdt deze op de hoogte van ontwikkelingen;
c. Is opdrachtnemer zelfstandig aansprakelijk voor boetes en schades veroorzaakt door eigen nalatigheid.
5. Bij beëindiging van deze overeenkomst:
a. Blijven lopende verplichtingen gelden (o.a. geheim- houding, Meldplicht datalekken);
b. Werkt opdrachtnemer mee aan de adequate over- dracht van werkzaamheden aan een opvolgende opdrachtnemer;
c. Vernietigt de opdrachtnemer de gegevens op aanwijzing van opdrachtgever;
d. Kan opdrachtnemer eventuele meerkosten van overdracht declareren bij opdrachtgever.
D. Aantoonbare review van de verwerkersovereenkomst
De contracteigenaar/gegevensverantwoordelijke moet aan kunnen tonen dat de verwerkersovereenkomst met gepaste zorg tot stand is gekomen. Dit kan door de checklist te gebruiken als reviewverslag op de concept overeenkomst (dus vóór de ondertekening), door het kader hieronder in te vullen en het ingevulde reviewver- slag op te slaan.
Gereviewde verwerkersovereenkomst (versie):
Naam reviewer
Datum review
Restpunten (optioneel)
Tenslotte
Voor het samenstellen van deze checklist zijn volgende bronnen gebruikt:
1. JenV Circulaire Meldplicht Datalekken.
2. CBP Richtsnoeren Beveiliging, §4.2 - Afspraken verwerkersovereenkomst.
3. Rijksbrede (AVG-geüpdate) model ‘Verwerkersovereen- komst ARVODI-2016’ (november 2017).
4. AVG artikel 28.
Voor meer informatie: neem contact op met de Privacy Officer van xxxx XxxX-onderdeel of de Functionaris voor Gegevensbescherming (FG) van XxxX, Xxxxxx xx Xxxxx.
December 2017 | Publicatie-nr. 110682