STICHTING INLICHTINGENBUREAU AANSLUITINGS- en BEWERKERSOVEREENKOMST GEMEENTELIJK GEGEVENSKNOOPPUNT
STICHTING INLICHTINGENBUREAU AANSLUITINGS- en BEWERKERSOVEREENKOMST GEMEENTELIJK GEGEVENSKNOOPPUNT
(Versie 2018)
DE ONDERGETEKENDEN:
(1) Stichting Inlichtingenbureau, gevestigd en kantoorhoudend te (3511 BT) Utrecht op het adres Xx. Xxxxxxxxxxx 000-000, xx dezen rechtsgeldig vertegenwoordigd door de heer drs. P.A. Jansz (directeur), hierna te noemen: “Stichting Inlichtingenbureau”,
(2) Het college van burgemeester en wethouders van
Gemeente
te dezen rechtsgeldig vertegenwoordigd door de persoon als onderstaand vermeld bij ondertekening, hierna te noemen “de Gemeente”;
Ondergetekenden hierna gezamenlijk te noemen ’Partijen’; IN AANMERKING NEMENDE DAT:
A. in verband met de uitvoering door gemeenten van taken in het sociale domein ten behoeve van de
beleidsterreinen ‘Maatschappelijke Ondersteuning en Jeugdzorg’ uitwisseling van verschillende berichten plaatsvindt tussen de Gemeente en daarbij betrokken partijen;
B. Stichting Inlichtingenbureau ten behoeve van de gemeenten zorgdraagt voor de exploitatie van het gemeentelijk gegevensknooppunt en overige elektronische voorzieningen (hierna ‘GGK’), en de Gemeente een aansluiting wenst op het GGK in verband met de uitvoering van haar taken op de beleidsterreinen ‘Maatschappelijke Ondersteuning en Jeugdzorg’;
C. in het kader van de gemeentelijke taken op de beleidsterreinen ‘Maatschappelijke Ondersteuning en Jeugdzorg’ via het GGK persoonsgegevens van burgers worden verwerkt als bedoeld in de Wet bescherming persoonsgegevens (hierna ‘de Wbp’) en de ‘Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van 27 april 2016)’ (hierna ‘de AVG’);
D. de Gemeente in de zin van de Wbp geldt als ‘verantwoordelijke’ en Stichting Inlichtingenbureau als ‘bewerker’ (in de AVG respectievelijk aangeduid als ‘verwerkingsverantwoordelijke’ en ‘verwerker’);
E. Stichting Inlichtingenbureau met gebruikmaking van het GGK enkel ten behoeve van de Gemeente zorgdraagt voor transport van berichten en persoonsgegevens verwerkt in verband met de gemeentelijke taken op de beleidsterreinen ‘Maatschappelijke Ondersteuning en Jeugdzorg’, en de technische en organisatorische beveiligingsmaatregelen met betrekking tot het GGK en waarborging hiervan mede heeft afgestemd met de aan de VNG verbonden ‘Informatiebeveiligingsdienst voor gemeenten’ (‘IBD’);
F. Partijen in deze overeenkomst de tussen Partijen van toepassing zijnde afspraken met betrekking tot de aansluiting op het GGK en bijbehorende knooppuntdiensten, alsmede ten aanzien van de verwerking van persoonsgegevens (inclusief de ‘meldplicht datalekken’) door Stichting Inlichtingenbureau conform het in artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG bepaalde schriftelijk wensen vast te leggen.
KOMEN HET VOLGENDE OVEREEN:
HOOFDSTUK I AANSLUITING GGK en UITVOERING KNOOPPUNTDIENSTEN
1 AANSLUITING GGK EN UITVOERING KNOOPPUNTDIENSTEN
1.1 De Gemeente verleent Stichting Inlichtingenbureau opdracht tot:
a. de aansluiting op het GGK; en
b. het met gebruikmaking van het GGK ten behoeve van de Gemeente uitvoeren van diensten in het kader van de knooppuntdiensten (en daarvan deel uitmakende informatieproducten) zoals nader omschreven in het ‘Gegevensregister IB Maatschappelijke Ondersteuning en Jeugdzorg ’ (hierna ‘GR IB Maatschappelijke Ondersteuning en Jeugdzorg’ zoals gepubliceerd op de website van Stichting Inlichtingenbureau (xxx.xxxxxxxxxxxxxxxxxx.xx)).
1.2 Stichting Inlichtingenbureau zal in verband met de aansluiting van de Gemeente op het GGK de daarvoor bij Stichting Inlichtingenbureau benodigde organisatorische en technische werkzaamheden uitvoeren en via de servicedesk ondersteuning bieden aan de Gemeente met betrekking tot de aansluiting op het GGK en het verdere gebruik van de knooppuntdiensten.
1.3 De Gemeente wijst in verband met de aansluiting op het GGK en gebruik van de knooppuntdiensten aan van welke onderdelen (zoals vermeld in het GR IB Maatschappelijke Ondersteuning en Jeugdzorg) de Gemeente gebruik wil maken. Dit met gebruikmaking van de daarvoor gepubliceerde formulieren op de website van Stichting Inlichtingenbureau (xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xx). Het voornoemde geldt ook bij eventuele mutaties (waaronder als gevolg van uitbreiding van de knooppuntdiensten en daarvan deel uitmakende informatieproducten).
1.4 De Gemeente maakt in verband met de aansluiting op het GGK en gebruik van de knooppuntdiensten tevens gegevens van de volgende medewerkers kenbaar aan Stichting Inlichtingenbureau:
a. contactpersoon Gemeente;
b. gebruikersbeheerder(s) Gemeente knooppuntdiensten;
c. de functionaris voor gegevensbescherming van de Gemeente;
d. de security officer Gemeente.
Dit met gebruikmaking van de daarvoor gepubliceerde formulieren op de website van Stichting Inlichtingenbureau (xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xx). Het voornoemde geldt ook bij eventuele mutaties met betrekking tot voornoemde (gegevens van) medewerkers.
1.5 De Gemeente kan zich voor alle vragen met betrekking tot de aansluiting op het GGK en gebruik van de knooppuntdiensten – waaronder met betrekking tot beveiliging en bescherming van persoonsgegevens – richten tot de servicedesk van Stichting Inlichtingenbureau (zie voor contactinformatie de website van Stichting Inlichtingenbureau (xxx.xxxxxxxxxxxxxxxxxx.xx)).
1.6 In verband met toegang tot het GGK en het gebruik van de knooppuntdiensten – waaronder het daarvan deel uitmakende webportaal - dient de Gemeente zelf zorg te dragen voor de daartoe benodigde technische faciliteiten zoals nader aangegeven op de website van Stichting Inlichtingenbureau en daarop gepubliceerde (technische- en gebruikers)documentatie voor het GGK en de knooppuntdiensten. Stichting Inlichtingenbureau heeft - indien nodig - het recht in verband met onder meer uitbreiding van de knooppuntdiensten en aanpassingen in daarvoor benodigde vereiste beveiligingsniveaus, wijzigingen aan te brengen in (de specificaties van) voornoemde benodigde technische faciliteiten waarvoor de Gemeente zelf zorg dient te dragen. De Gemeente wordt hiervan vooraf op de hoogte gebracht.
2 DUUR EN BEËINDIGING
2.1 Deze overeenkomst treedt in werking na ondertekening en geldt voor de duur dat de Gemeente een aansluiting heeft en gebruik maakt van de knooppuntdiensten.
2.2 De Gemeente kan deze overeenkomst beëindigen met inachtneming van een opzegtermijn van een maand. Opzegging kan plaatsvinden met gebruikmaking van een mutatieformulier als bedoeld in artikel 1.3.
2.3 Stichting Inlichtingenbureau kan deze overeenkomst beëindigen met inachtneming van een opzegtermijn van drie maanden. Opzegging zal schriftelijk plaatsvinden aan de contactpersoon Gemeente.
3 KNOOPPUNTDIENSTEN EN VERWERKEN PERSOONSGEGEVENS
3.1 Stichting Inlichtingenbureau verwerkt persoonsgegevens van burgers in verband met de taken van de Gemeente op de beleidsterreinen ‘Maatschappelijke Ondersteuning en Jeugdzorg’ uitsluitend conform het in deze overeenkomst bepaalde. De ten behoeve van de Gemeente te verwerken persoonsgegevens worden door Stichting Inlichtingenbureau op behoorlijke en zorgvuldige wijze verwerkt in overeenstemming met de Wbp en - na inwerkingtreding per 25 mei 2018 – de AVG. De aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen zijn vermeld in het ‘GR IB Maatschappelijke Ondersteuning en Jeugdzorg’ (zie voor de meest recente versie de website van het Inlichtingenbureau (xxx.xxxxxxxxxxxxxxxxxx.xx)).
4 BEVEILIGINGSMAATREGELEN
4.1 Stichting Inlichtingenbureau treft, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen bij het verwerken van persoonsgegevens in verband met de
aansluiting van de Gemeente op het GGK en het gebruik van de knooppuntdiensten. Dit conform het vigerende, op de Baseline informatiebeveiliging Rijksdienst (BIR) 2012 gebaseerde ‘Informatiebeveiligingsbeleid Stichting Inlichtingenbureau’ (zie voor de meest recente versie de website van het Inlichtingenbureau (xxx.xxxxxxxxxxxxxxxxxx.xx)). Afstemming ter zake informatiebeveiliging vindt plaats met de aan de VNG verbonden ‘Informatiebeveiligingsdienst voor gemeenten’ (‘IBD’).
4.2 De Gemeente is zelf verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen met betrekking tot de aansluiting van de Gemeente op het GGK en het gebruik van de knooppuntdiensten binnen de eigen organisatie (en eventueel door de Gemeente ingeschakelde derden) en de in dat kader door de Gemeente zelf aan te wenden (technische) faciliteiten.
4.3 In geval van een beveiligingsincident heeft Stichting Inlichtingenbureau, indien nodig in verband met de alsdan te nemen maatregelen, het recht de diensten in verband met het GGK en de knooppuntdiensten tijdelijk op te schorten. De Gemeente wordt hierover zo spoedig mogelijk geïnformeerd.
5 GEHEIMHOUDING
5.1 Stichting Inlichtingenbureau, alsmede personen in dienst van Stichting Inlichtingenbureau, dan wel organisaties en/of personen werkzaam ten behoeve van Stichting Inlichtingenbureau, zijn verplicht tot geheimhouding met betrekking tot de in het kader van de uitvoering van de overeenkomst verwerkte persoonsgegevens waarvan zij kennis nemen, behoudens voor zover een bij of krachtens de wet gegeven voorschrift hen tot mededeling verplicht of uit hun taak in het kader van de uitvoering van de overeenkomst de noodzaak tot mededeling voortvloeit. Voor wie niet reeds uit hoofde van ambt, beroep, wettelijk voorschrift of (arbeids)overeenkomst een geheimhoudingsplicht geldt, draagt Stichting Inlichtingenbureau zorg voor het tekenen hiertoe van een geheimhoudingsverklaring.
5.2 Indien Stichting Inlichtingenbureau, anders dan in het kader van de uitvoering van de overeenkomst, overeenkomstig een bij of krachtens de wet gegeven voorschrift gehouden is persoonsgegevens aan een derde te verstrekken, zal Stichting Inlichtingenbureau de grondslag van het verzoek en de identiteit van de derde (verzoeker) verifiëren en zal Stichting Inlichtingenbureau de Gemeente op redelijkerwijs kortst mogelijke termijn voorafgaand aan een eventuele verstrekking ter zake informeren, tenzij een bij of krachtens de wet gegeven voorschrift dit verbiedt. Met inachtneming van het voornoemde geldt als hoofdregel dat de Gemeente als verwerkingsverantwoordelijke primair zorg draagt voor de afhandeling van verzoeken van derden met betrekking tot de verstrekking van persoonsgegevens.
5.3 Verwerking van (persoons)gegevens vindt plaats in rekencentra in Nederland. Grensoverschrijdende verwerkingen van (persoons)gegevens in - en/of verstrekking van persoonsgegevens naar niet-EU-landen is expliciet niet toegestaan zonder voorafgaande schriftelijke toestemming van de Gemeente.
6 MELDPLICHT DATALEKKEN
6.1 In geval Stichting Inlichtingenbureau een inbreuk kenbaar is geworden op de beveiliging als bedoeld in artikel 4.1 overeenkomst en artikel 13 Wbp alsmede artikel 32 AVG, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die ten behoeve van de Gemeente worden verwerkt, en welke inbreuk in de zin van de Wbp en AVG alsmede met inachtneming van de door de Autoriteit Persoonsgegevens gepubliceerde ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ (dan wel een opvolger hiervan) geldt als een datalek (hierna ‘datalek'), dan zal Stichting Inlichtingenbureau onverwijld – en voor zover mogelijk uiterlijk binnen een termijn van een dag nadat de inbreuk kenbaar is geworden - (laten) zorgdragen voor het verstrekken van de alsdan bij haar bekende informatie ter zake van het datalek aan de Gemeente.
6.2 De aan de Gemeente te verstrekken informatie maakt het de Gemeente mogelijk, met inachtneming van het in artikel 34a Wbp en artikel 33 AVG genoemde en de door de Autoriteit Persoonsgegevens gepubliceerde ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ (dan wel een opvolger hiervan), een eerste melding te doen via het door de Autoriteit Persoonsgegevens op haar website gepubliceerde meldingsformulier. Indien na het verstrekken van voornoemde informatie aanvullende informatie beschikbaar komt over het betreffende datalek, dan zal deze aan de Gemeente beschikbaar worden gemaakt opdat de Gemeente de betreffende melding kan wijzigen of intrekken.
6.3 Indien het datalek betrekking heeft op persoonsgegevens van een betrokkene die ten behoeve van de Gemeente worden verwerkt en waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer als bedoeld in artikel 34a Wbp en artikel 34 AVG, en deze betrokkene geinformeerd dient te worden, dan zal Stichting Inlichtingenbureau de Gemeente ter zake van voldoende informatie voorzien zodat de Gemeente de betrokkene kan informeren over in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen, en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
7 AUDIT EN CONTROLE
7.1 Stichting Inlichtingenbureau zal jaarlijks door een onafhankelijke auditor een audit laten uitvoeren met betrekking tot de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 4.1. Aan de hand van het audit-rapport wordt een beknopte rapportage opgesteld.
7.2 Stichting Inlichtingenbureau draagt er zorg voor dat door de onafhankelijke auditor aangegeven aanbevelingen ter verbetering op korte termijn worden uitgevoerd. Het voornoemde nadat betreffende aanbevelingen zijn afgestemd met de IBD.
7.3 Indien de Gemeente naar aanleiding van de rapportage als bedoeld in artikel 7.1 alsnog zelfstandig wenst te controleren of de verwerking van de persoonsgegevens plaatsvindt conform het in de overeenkomst bepaalde is de Gemeente hiertoe gerechtigd. Stichting Inlichtingenbureau stelt de Gemeente na een schriftelijk verzoek daartoe in de gelegenheid.
7.4 Stichting Inlichtingenbureau zal de voor de controle benodigde informatie aan de Gemeente beschikbaar stellen overeenkomstig het daartoe door de Gemeente gedane verzoek met inachtneming van een ter zake van toepassing zijnde redelijke termijn.
7.5 Voor het uitvoeren van een controle als bedoeld in artikel 7.1 overeenkomst zal gebruik worden gemaakt van (IT-)auditors die op grond van hun gedrags- en beroepsregels (zoals van ‘NOREA’) geheimhouding dienen te betrachten en onafhankelijk zullen rapporteren.
7.6 Indien de Gemeente door de Autoriteit Persoonsgegevens aan een controle wordt onderworpen welke verband houdt met de verwerking van de persoonsgegevens in het kader van de overeenkomst, zal Stichting Inlichtingenbureau aan een dergelijke controle de benodigde medewerking verlenen en de Gemeente alle informatie en gegevens verstrekken die noodzakelijk zijn in verband met de controle.
7.7 Stichting Inlichtingenbureau publiceert informatie ten behoeve van een eventuele door de Gemeente uit te voeren ‘gegevensbeschermingseffectbeoordeling’ (zoals bedoeld in artikel 35 AVG) op de website van Stichting Inlichtingenbureau voor verder gebruik door de Gemeente bij haar gegevensbeschermingseffectbeoordeling. Dit betreft de informatie zoals vermeld in artikel 35 lid 7 AVG, beperkt tot hetgeen toeziet op activiteiten van Stichting Inlichtingenbureau onder deze overeenkomst.
8 VERWIJDERING / TERUGGAVE PERSOONSGEGEVENS, MEDEWERKING
8.1 In geval van beëindiging van de overeenkomst, zal Stichting Inlichtingenbureau in overleg met de Gemeente en na schriftelijke instructie daartoe (laten) zorgdragen voor definitieve verwijdering en vernietiging van de alsdan nog beschikbare en verwerkte persoonsgegevens. Van een verwijdering en vernietiging wordt een gedateerde en door Stichting Inlichtingenbureau ondertekende schriftelijke verklaring opgesteld. Voornoemde schriftelijke verklaring wordt onverwijld aan de door de Gemeente aangewezen contactpersoon gezonden.
8.2 Stichting Inlichtingenbureau biedt daar waar nodig de Gemeente ondersteuning opdat de Gemeente in staat is om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp en AVG, meer in het bijzonder de rechten van betrokkenen. Het voornoemde is enkel van toepassing indien de Gemeente niet zelfstandig als verwerkingsverantwoordelijke de mogelijkheid heeft aan voornoemde verplichtingen te voldoen.
9 INSCHAKELING DERDEN
9.1 Voor zover werkzaamheden betrekking hebben op de verwerking van persoonsgegevens in het kader van het GGK en de knooppuntdiensten is Stichting Inlichtingenbureau slechts gerechtigd de uitvoering van deze werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de Gemeente. Deze toestemming wordt niet zonder redelijke grond geweigerd. Stichting Inlichtingenbureau maakt in het kader van het GGK en de knooppuntdiensten gebruik maakt van ICT-diensten en faciliteiten van Stichting RINIS en Vancis C&MS B.V. (in verband met hosting en technisch beheer van de IT-systemen van Stichting Inlichtingenbureau) en de Gemeente geeft hiervoor in verband met het voornoemde haar toestemming.
9.2 Stichting Inlichtingenbureau draagt er zorg voor dat met derden zoals bedoeld in artikel 9.1 in verband met de (eventuele) verwerking van persoonsgegevens als subbewerker, passende schriftelijke afspraken worden gemaakt met betrekking tot de onderwerpen ‘geheimhouding’ en ‘technische en organisatorische beveiligingsmaatregelen’ als bedoeld in de Wbp en AVG.
9.3 Stichting Inlichtingenbureau blijft bij inschakeling van derden als bedoeld in dit artikel te allen tijde het aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze overeenkomst.
10 AANSPRAKELIJKHEID
10.1 Indien Stichting Inlichtingenbureau toerekenbaar tekort schiet in de nakoming van één of meer van haar verplichting(en) uit de overeenkomst, zal de Gemeente haar eerst deswege in gebreke stellen nadat Partijen voorafgaand tevergeefs over een passende oplossing voor de betreffende tekortkoming in overleg zijn getreden. De ingebrekestelling zal schriftelijk geschieden waarbij Stichting Inlichtingenbureau een redelijke termijn zal worden gegund om alsnog haar verplichtingen na te komen.
10.2 Stichting Inlichtingenbureau is aansprakelijk voor directe schade of nadeel voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de Wbp of AVG gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze overeenkomst bepaalde voor zover ontstaan door eigen werkzaamheid van Stichting Inlichtingenbureau of door haar ingeschakelde derden.
11 OVERIGE BEPALINGEN
11.1 Formele kennisgevingen die Partijen op grond van deze overeenkomst aan elkaar zullen doen vinden schriftelijk plaats. Correspondentie en afspraken in het kader van de aansluiting op het GGK en gebruik van de knooppuntdiensten kan plaatsvinden via email. Mondelinge mededelingen, toezeggingen of afspraken hebben geen rechtskracht tenzij deze schriftelijk zijn bevestigd.
11.2 Ieder geschil tussen partijen ter zake van deze overeenkomst zal, indien minnelijke oplossing van dit geschil niet mogelijk is gebleken, bij uitsluiting worden voorgelegd aan de daartoe bevoegde rechter in het arrondissement Utrecht. Er is sprake van een geschil indien één der partijen zulks in een aangetekende brief aan de wederpartij kenbaar maakt.
11.3 Op deze overeenkomst is Nederlands recht van toepassing.
11.5 Wijzigingen en/of aanvullingen op deze overeenkomst zijn uitsluitend geldig indien zij tussen Partijen schriftelijk zijn overeengekomen door de daartoe bevoegde personen van beide Partijen.
ALDUS OVEREENGEKOMEN EN IN TWEEVOUD ONDERTEKEND,
Stichting Inlichtingenbureau
te dezen rechtsgeldig vertegenwoordigd door:
Naam | De heer drs. P.A. Jansz |
Functie | Directeur |
Handtekening | |
Plaats | Utrecht |
Datum | 22 januari 2018 |
Het college van burgemeester en wethouders van de Gemeente
te dezen rechtsgeldig vertegenwoordigd door:
Naam | |
Functie | |
Handtekening | |
Plaats | |
Datum |