Toelichting bij het Model Verwerkersovereenkomst in het kader van de Wet politiegegevens – ARVODI 2018 (hierna: Toelichting)

Rijksoverheid

Toelichting bij het Model Verwerkersovereenkomst in het kader van de Wet politiegegevens – ARVODI 2018 (hierna: Toelichting)

Deze Toelichting is openbaar maar maakt geen onderdeel uit van het Model Verwerkersovereenkomst Wpg ARVODI-2018 (hierna Model Wpg). Bij twijfel over de betekenis en/of uitleg van dit Model Wpg kan hetgeen in deze Toelichting staat medebepalend zijn. De Toelichting doet geen afbreuk aan hetgeen Partijen in een concreet geval zijn overeengekomen.

Reikwijdte en toepassingsbereik van het Model Verwerkersovereenkomst Wpg ARVODI- 2018

Het Model Wpg is alleen bedoeld voor het Verwerken van Politiegegevens bij of krachtens de Wet Politiegegevens1 (hierna: voluit of Wpg) en (cumulatief) waar een Overeenkomst aan ten grondslag ligt waarop de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van diensten 2018 (hierna: ARVODI-2018 of ARVODI) van toepassing zijn verklaard2.

Aan de Wpg ligt de Richtlijn (EU) 2016/680 van 27 april 20163 ten grondslag. Deze richtlijn gaat

- kort gezegd - over het beschermen van natuurlijke personen bij gegevensverwerkingen in het kader van het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of uitvoeren van straffen. Waaronder het beschermen en voorkomen van gevaren voor de openbare veiligheid.

Het kenmerk van een richtlijn is – in tegenstelling tot een verordening, zoals de Algemene verordening gegevensbescherming (Avg) – dat deze niet direct verbindend is maar door de lidstaat moet worden omgezet in nationale wetgeving. In Nederland is voornoemde Europese richtlijn omgezet in de Wet justitiële en strafvorderlijke gegevens (hierna: Wjsg) 4 en de Wpg. Zoals eerder aangegeven is dit model Wpg bedoeld voor overeenkomsten met betrekking tot het Verwerken van Politiegegevens en dus niet geschikt als het gaat om het Verwerken van justitiële en strafvorderlijke gegevens.

De verplichtingen uit voornoemde richtlijn gelden ook voor de bij of krachtens de Wpg als verwerkingsverantwoordelijke bevoegde instanties. Vanwege de koppeling van het Model Wpg aan de ARVODI is hierin de Minister als Opdrachtgever en ondertekenaar opgenomen. Dit betekent uitdrukkelijk niet dat het Model Wpg alleen gebruikt kan worden voor werkgevers van de Rijksoverheid.

Hieronder volgt eerst een opsomming van de verwerkingsverantwoordelijken voor Wpg- verwerkingen, daarna een algemene toelichting en tot slot een artikelsgewijze toelichting op het Model Wpg.

1 Wet van 21 juli 2007, houdende regels inzake de verwerking van politiegegevens (Wet politiegegevens). Gewijzigd bij Wet van 17 oktober 2018 tot wijziging van de Wpg en de Wjsg ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen: xxxxx://xxxx.xxxxxxxxxxxxxxxxxxxxxxx.xx/xxx-0000-000.xxxx

2 Voor reikwijdte en schakelbepalingen zie onder meer de artikelen 1, onder f, 2 en 46 van de Wpg

3 Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van het Kaderbesluit 2008/977/JBZ van de Raad

4 Wet van 7 november 2002 tot wijziging van de regels betreffende de verwerking van justitiële gegevens en het stellen van regels met betrekking tot de verwerking van persoonsgegevens in persoonsdossiers (Wet justitiële gegevens justitiële en strafvorderlijke gegevens)

De Wpg sinds 2008, niet alleen voor de politie maar ook voor bepaalde onderdelen binnen de (Rijks)overheid

De Wpg geldt sinds 2008 voor de politie maar ook, op grond van artikel

1 onder f, van de Wpg, voor de rijksrecherche en de Koninklijke marechaussee.

Wie is verwerkingsverantwoordelijke

Bij de implementatie van richtlijn 2016/680 in de Wpg heeft de wetgever ervoor gekozen om de verwerkingsverantwoordelijke bij wet aan te wijzen. Dit in afwijking van de Avg, waar dit gebeurt op feitelijke gronden: degene die het doel en de middelen bepaalt.

De Wpg sinds 2009 ook voor bijzondere opsporingsdiensten (bod’s)

In 2009 zijn door het Besluit politiegegevens bijzondere opsporingsdiensten (hierna: Bpg bod)5 de tot de Rijksoverheid behorende zogenaamde bijzondere opsporingsdiensten (hierna: bod’s), aan het Wpg-domein toegevoegd. Het gaat om de volgende vier bod’s:

1. de Belastingdienst/Fiscale Inlichtingen- en Opsporingsdienst;

2. de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport;

3. de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit;

4. de Directie Opsporing van de Nederlandse Arbeidsinspectie; Zie in dit kader tevens het gestelde in artikel 46van de Wpg6.

Wie is verwerkingsverantwoordelijke en wat is werkveld voor bod’s

In artikel 1 onder c, van het Bpg bod, is opgenomen wie verwerkingsverantwoordelijke is bij deze vier bijzondere opsporingsdiensten7. De wijze waarop de taken en bevoegdheden van deze vier bijzondere opsporingsdiensten zijn geregeld, alsmede het toezicht daarop is geregeld in de Wet op de bijzondere opsporingsdiensten8. Kort gezegd is een bijzondere opsporingsdienst onder gezag van de officier van justitie belast met de strafrechtelijke handhaving van de rechtsorde op de beleidsterreinen waarvoor ministers van de bijzondere opsporingsdiensten verantwoordelijkheid dragen.

De Wpg sinds 2019 ook voor werkgever buitengewoon opsporingsambtenaar (boa)

Ten slotte is in 2019 de werkgever van de buitengewoon opsporingsambtenaar (hierna: boa) door het Besluit politiegegevens buitengewoon opsporingsambtenaren (hierna: voluit of Bpg boa)9 aan het Wpg-domein toegevoegd.

Wie is verwerkingsverantwoordelijke en wat is werkveld voor boa’s

Boa’s kunnen in dienst zijn van de Rijksoverheid, zoals bijvoorbeeld boa’s die werken bij de Douane of Rijkswaterstaat (RWS)10. Niet de werkgever maar de individuele boa is dan belast met de opsporing en die opsporing vindt plaats onder gezag van de officier van justitie. Xxx’x verwerken de politiegegevens echter in het kader van een dienstverband onder beheer van hun werkgever.

Daarmee is de werkgever de verwerkingsverantwoordelijke. Zie in dat verband ook artikel 1 onder c van het Bpg boa) waarin dit expliciet is bepaald: verwerkingsverantwoordelijke: de werkgever bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar)11.

5 Besluit van 3 juli 2009, houdende bepalingen inzake de overeenkomstige toepassing van de Wet politiegegevens op de verwerking van persoonsgegevens door een dienst van een publiekrechtelijk lichaam die is belast met de opsporing van de strafbare feiten (Besluit politiegegevens bijzonder opsporingsdiensten)

6 Wpg artikel 46. (toepassing op gegevensverwerking door bijzondere opsporingsdiensten)

7verwerkingsverantwoordelijke: dit is bij:

1° de Belastingdienst/Fiscale Inlichtingen- en Opsporingsdienst: Onze Minister van Financiën;

2° de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport: Onze Minister van Infrastructuur en Waterstaat;

3° de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit: Onze Minister van Landbouw, Natuur en Voedselkwaliteit;

4° de Directie Opsporing van de Nederlandse Arbeidsinspectie: Onze Minister van Sociale Zaken en Werkgelegenheid;

8 Wet van 29 mei 2006 tot vaststelling van de regels met betrekking tot de bijzondere opsporingsdiensten en de instelling van het functioneel parket (Wet op de bijzondere opsporingsdiensten)

9 Besluit van 6 februari 2019, houdende bepalingen inzake de overeenkomstige toepassing van de Wet politiegegevens op de verwerking van persoonsgegevens door personen die belast zijn met de opsporing van strafbare feiten (Besluit politiegegevens buitengewoon opsporingsambtenaren)

10 Bijvoorbeeld boa’s in dienst bij Rijkswaterstaat zijn bevoegd t.a.v. domein VI: Generieke opsporing en domein II: Milieu, welzijn en infrastructuur.

11 In artikel 1, onderdeel h, van het Bbo is opgenomen: werkgever: de werkgever van de buitengewoon opsporingsambtenaar.

Let op: Onderscheid twee mogelijke toepasselijke privacyregimes: Avg en Wpg

Van belang is dat twee verschillende ”privacyregimes” voor de hierboven vermelde organisaties van toepassing kunnen zijn, namelijk de Avg en de Wpg. Zie in dit kader tevens het gestelde in artikel 2, tweede lid van de Avg.

Dit onderscheid is relevant voor de keuze of het Model Verwerkersovereenkomst Wpg ARVODI- 2018 van toepassing is of het (reguliere) Model Verwerkersovereenkomst ARVODI-2018 dat ziet op de Avg. Ingeval binnen een opdracht zowel op basis van de Wpg als op basis van de Avg gegevens door Opdrachtnemer moeten worden Verwerkt, is het advies twee afzonderlijke verwerkersovereenkomsten te sluiten.

I Algemene toelichting

Als een opdracht wordt verstrekt op basis van de ARVODI-2018 dan kan daarin besloten liggen dat Opdrachtnemer Politiegegevens moet Verwerken ten behoeve van Opdrachtgever. In dat geval moeten Partijen een Verwerkersovereenkomst sluiten. In een Verwerkersovereenkomst maken Opdrachtgever en Opdrachtnemer afspraken over de Verwerking van Politiegegevens in het kader van de Overeenkomst. De afspraken gaan o.a. over de bescherming van de Politiegegevens van Betrokkenen.

Het Model Verwerkersovereenkomst Wpg ARVODI-2018 is opgesteld met inachtneming van artikel 6c, tweede lid, van de Wpg12 juncto artikel 6:1b13 van het Besluit politiegegevens (hierna voluit of Bpg).

De artikelen in het Model Wpg vormen één geheel met de artikelen, zoals opgenomen in de Overeenkomst en de ARVODI. Onderwerpen die al in de Overeenkomst of de ARVODI zijn geregeld, worden daarom niet nogmaals in de Verwerkersovereenkomst geregeld. Het Model Wpg moet daarom altijd in combinatie met de Overeenkomst en de ARVODI worden gesloten.

In artikel 14 van de ARVODI over Verwerking Persoonsgegevens moet daar waar de Algemene Verordening Gegevensbescherming wordt genoemd in het kader van het gebruik van het Model Verwerkersovereenkomst Wpg ARVODI-2018 en de daarbij behorende Overeenkomst, de Wet politiegegevens worden gelezen en de bij of krachtens deze wet genomen besluiten worden gelezen en daar waar de term Persoonsgegevens staat het begrip Politiegegevens worden gelezen.

Het Model Wpg is nadrukkelijk niet geschikt voor de volgende situaties:

a. Indien Opdrachtgever niet kwalificeert als Verwerkingsverantwoordelijke als bedoeld in de Wpg of daaraan onderliggende besluiten bij of krachtens artikel 46 van de Wpg, voor de verwerking van Politiegegevens.

b. Indien andere algemene voorwaarden dan de ARVODI van toepassing zijn verklaard op de Overeenkomst.

c. Indien de Verwerking van Persoonsgegevens valt onder de werkingssfeer van de Avg.

d. Indien de Politiegegevens worden Verwerkt in een land buiten de Europese Unie, IJsland, Liechtenstein, Noorwegen en Zwitserland. Betrek in dit geval specifieke juridische expertise.

e. Indien Opdrachtnemer onderdeel is van dezelfde rechtspersoon als Opdrachtgever.

Het Model Wpg omvat 11 standaardartikelen die bij elke Verwerkersovereenkomst van toepassing zijn. Artikel 10 van het Model Wpg kent enkele optionele bepalingen die kunnen worden gebruikt als de specifieke situatie dat vereist.

Het Model Wpg bevat drie verplichte bijlagen. Deze bijlagen moeten worden ingevuld, met name om te voldoen aan de eisen die artikel 6:1b van het Bpg stelt aan de inhoud van de overeenkomst met een verwerker.

12 Wpg artikel 6c. (verwerker)

13 Bpg Artikel 6:1b. Inhoud overeenkomst met verwerker (artikel 6c, tweede lid)

II – Artikelsgewijze toelichting Artikel 1 Begrippen

Dit artikel bepaalt allereerst dat de begripsbepalingen van de ARVODI (opgenomen in artikel 1) ook gelden voor deze Verwerkersovereenkomst. Daarnaast wordt een aantal begrippen uit de Wpg gehanteerd, met dien verstande dat een aantal begrippen op de Verwerkersovereenkomst is toegespitst.

1.2 Autoriteit persoonsgegevens

In artikel 1, onder h, van de Wpg wordt voor de Autoriteit persoonsgegevens verwezen naar de autoriteit, bedoeld in artikel 6 van de Uitvoeringswet Algemene verordening gegevensbescherming.

1.3 Betrokkene

In artikel 1, onder g, van de Wpg gedefinieerd en overgenomen.

1.4. Inbreuk op de beveiliging

Hier is de definitie van artikel 1, onder q, van de Wpg gevolgd. In de definitie is geen onderscheid gemaakt of de inbreuk al dan niet een (hoog) risico voor de rechten en vrijheden van personen met zich meebrengt. De kwalificatie van het risico is uiteindelijk wel van belang in verband met de meldplicht van Opdrachtgever bedoeld in artikel 33a14 van de Wpg.

1.7 Persoonsgegeven

Hier is de definitie van artikel 1, onder b, van de Wpg gevolgd. Aan de definitie is toegevoegd dat het enkel de gegevens betreft die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever Verwerkt. Hiermee worden uitgesloten de Persoonsgegevens die Opdrachtnemer Verwerkt op basis van een andere titel dan de Overeenkomst.

1.8 Politiegegeven:

Hier is in de definitie tot uitdrukking gebracht dat het gaat om politiegegevens zoals gedefinieerd in artikel 1, onder a, van de Wpg15, waarop de Wpg-regelgeving via opgenomen schakelbepalingen van (overeenkomstige) toepassing is verklaard oftewel onder het Wpg-domein vallen.

Een politiegegeven is een bijzondere versie van een persoonsgegeven. Het is een persoonsgegeven dat verwerkt wordt in het kader van de uitoefening van de politietaak. Hiervoor geldt de Wpg. Het Besluit politiegegevens buitengewoon opsporingsambtenaren16 bepaalt ook dat boa’s die opsporingsgegevens verwerken, politiegegevens verwerken.

Een vergelijkbare ‘van overeenkomstige toepassing’ bepaling is opgenomen in het Besluit politiegegevens bijzondere opsporingsdiensten17 , waar het gaat om verwerking van persoonsgegevens door bijzondere opsporingsdiensten.

1.10 Verwerker

Hier is de definitie van artikel 1, onder i, van de Wpg overgenomen18.

1.12 Verwerking

Hier is de definitie van artikel 1, onder c, van de Wpg gevolgd. Aan de definitie is toegevoegd dat het om een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst gaat. Hiermee wordt uitgesloten een bewerking of een geheel van bewerkingen die Opdrachtnemer uitvoert op basis van een andere titel dan de met de Verwerkersovereenkomst onlosmakelijk verbonden Overeenkomst.

14 Wpg artikel 33a. (melding datalekken).

15 Wpg artikel 1 onder a: politiegegeven: elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012, met uitzondering van:

- de uitvoering van wettelijke voorschriften anders dan de Wet administratiefrechtelijke handhaving verkeersvoorschriften;

- de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, bedoeld in artikel 1, eerste lid, onderdeel i, onder 1 en artikel 4, eerste lid, onderdeel f, van de Politiewet 2012

16 Bpg boa artikel 2. Van overeenkomstige toepassing verklaring

17 Bpg bod Artikel 2. Van overeenkomstige toepassing verklaring

18 Dit is bijvoorbeeld een particuliere alarmcentrale, die beelden van bewakingscamera’s ontvangt en bekijkt.

Artikel 2 Voorwerp van deze Verwerkersovereenkomst

Artikel 6c, tweede lid, van de Wpg schrijft voor dat de uitvoering van verwerkingen door een verwerker wordt geregeld in een schriftelijke overeenkomst of een andere rechtshandeling die de verwerker aan de verwerkingsverantwoordelijke bindt en dat bij of krachtens algemene maatregel van bestuur nadere regels worden gesteld over de inhoud van de overeenkomst of rechtshandeling. Dit is nader geregeld in artikel 6:1b van het Besluit politiegegevens. In casu wordt de Verwerking geregeld in een Verwerkersovereenkomst.

Conform het gestelde in voornoemd artikel 6:1b moet hierin in ieder geval worden opgenomen: het onderwerp en de duur van de Verwerking, de aard en het doel van de Verwerking, het soort gegevens waarop de wet van toepassing is, de categorieën van Betrokkenen en de verplichtingen en de rechten van de verwerkingsverantwoordelijke, en met name moet worden bepaald dat de Verwerker:

a. uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;

b. er zorg voor draagt dat de tot het Verwerken van Politiegegevens gemachtigde personen zich ertoe hebben verplicht vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting daaraan gebonden zijn;

c. de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de Betrokkene te verzekeren;

d. na afloop van de gegevensverwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle gegevens wist of hem deze ter beschikking stelt, en bestaande kopieën verwijdert, tenzij opslag van die gegevens verplicht is;

e. de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om nakoming van in artikel 6:1b van het Besluit politiegegevens gestelde voorschriften aan te tonen;

f. aan de in artikel 6:1b van het Besluit politiegegevens gestelde voorschriften voldoet bij de inschakeling van een andere verwerker en bij die inschakeling overeenkomstig artikel 6c, vierde lid, van de Wpg, handelt.

In het eerste lid van artikel 2 is bepaald dat de Verwerkersovereenkomst onlosmakelijk verbonden is met de Overeenkomst. In de Overeenkomst staan de diensten beschreven die Opdrachtnemer aan Opdrachtgever verleent. Anders gezegd: de Verwerkersovereenkomst dient ook altijd in samenhang met de (onderliggende) Overeenkomst te worden gelezen.

In het tweede lid wordt verwezen naar Bijlage 1 waarin de aspecten met betrekking tot de Verwerkingen moeten worden omschreven en gespecificeerd. Het gaat hier onder andere om de aard en het doel van de Verwerking, het soort Politiegegevens, de categorieën van Betrokkenen en Ontvangers van Politiegegevens en tot slot (indien aan de orde) gegevens over subverwerkers.

Voor het invullen van deze Bijlage 1 kan gebruik worden gemaakt van de gegevens in het register van verwerkingsactiviteiten als bedoeld in artikel 31d, tweede lid, van de Wpg19.

Met het soort Politiegegevens en de categorieën van Politiegegevens wordt gedoeld op de

(1) (reguliere) Politiegegevens, zoals gedefinieerd in artikel 1 onder a, van de Wpg namelijk elk persoonsgegeven dat wordt verwerkt in het kader van de uitoefening van de politietaak en op de

(2) bijzondere categorieën van Politiegegevens als bedoeld in artikel 5. van de Wpg20.

In Bijlage 1 moeten ook de categorieën van Betrokkenen worden omschreven. In dat kader is artikel 6b. van de Wpg21 relevant dat ingaat op het onderscheid tussen verschillende categorieën van betrokkenen.

In het vierde lid wordt de garantie verbreed tot naleving van alle van toepassing zijnde wet- en regelgeving betreffende de Verwerking van Politiegegevens. Het gaat hier in eerste instantie om de Wpg en de bij en krachtens de Wpg bedoelde regelgeving. Daarnaast kan worden gedacht aan bijzondere wet- en regelgeving.

19 Wpg Artikel 31d. (registers). Lid 1: a. t/x x. richt zicht toe verwerkingsverantwoordelijke. Lid 2 a. t/m d. richt zich tot de verwerker.

20 Wpg Artikel 5. (bijzondere categorieën van politiegegevens)

21 Wpg Artikel 6b. (onderscheid tussen verschillende categorieën van betrokkenen)

Artikel 3 Inwerkingtreding en duur

Dit artikel regelt de inwerkingtreding en duur van de Verwerkersovereenkomst. Artikel 6:1b van het Besluit politiegegevens schrijft onder meer voor dat de duur van de Verwerking in de Verwerkersovereenkomst wordt omschreven.

In de praktijk zal de Verwerkersovereenkomst doorgaans gelijktijdig met de Overeenkomst worden ondertekend en tegelijkertijd in werking treden. De Verwerkersovereenkomst dient immers voorafgaand aan de daadwerkelijke Verwerking van Politiegegevens gesloten te zijn.

Het tweede lid regelt dat de Verwerkersovereenkomst eindigt voor zover en nadat Opdrachtnemer alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of aan Opdrachtgever ter beschikking heeft gesteld. In artikel 10 staat dat Opdrachtnemer na afloop van de Overeenkomst zorgdraagt voor het ter beschikking stellen van de Politiegegevens aan Opdrachtgever of het wissen van alle Politiegegevens. Pas nadat hieraan voldaan is, eindigt de Verwerkersovereenkomst. Het kan dus zijn dat de Verwerkersovereenkomst doorloopt nadat de Overeenkomst is geëindigd.

Overigens vloeit uit artikel 32 van de ARVODI voort dat beëindiging van de Overeenkomst en de Verwerkersovereenkomst Opdrachtnemer niet ontslaat van verplichtingen daaruit die naar hun aard doorlopen. Tot deze verplichtingen behoren in ieder geval: aansprakelijkheid, geheimhouding, geschillen en toepasselijk recht.

In het derde lid is geregeld dat geen van de Partijen de Verwerkersovereenkomst tussentijds kan opzeggen. Deze bepaling is opgenomen omdat de Verwerkersovereenkomst verbonden is aan de Overeenkomst en omdat artikel 6c, tweede lid, van de Wpg voorschrijft dat Partijen de Verwerking van Politiegegevens in een overeenkomst regelen.

Artikel 4 Omvang Verwerkingsbevoegdheid Opdrachtnemer

Ingevolge artikel 6c, derde lid, van de Wpg verwerkt de verwerker en eenieder die handelt onder het beheer van de verwerkingsverantwoordelijke of van de verwerker de politiegegevens uitsluitend volgens de instructies van de verwerkingsverantwoordelijke, tenzij hij op grond van de nationale wetgeving of Unierecht tot die verwerking verplicht is. Voorts wordt onder meer in het eerste lid van artikel 6a22 van de Wpg de toegang tot politiegegevens voor de verwerkingsverantwoordelijke geregeld die onder zijn beheer worden verwerkt en in het derde lid de toegang tot politiegegevens van de verwerkingsverantwoordelijke aan de verwerker23.

In het eerste lid, van artikel 4, is bepaald dat Opdrachtnemer uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever Politiegegevens mag Verwerken. Enige uitzondering hierop vormt de situatie dat Opdrachtnemer op grond van nationale wetgeving of Unierecht tot die Verwerking verplicht is24.

Indien Opdrachtnemer in strijd met het bij of krachtens de Wpg en de Verwerkersovereenkomst bepaalde de doeleinden en middelen van de Verwerking bepaalt wordt Opdrachtnemer met betrekking tot die Verwerking als verwerkingsverantwoordelijke aangemerkt. Zie hierover artikel 1, onder i, van de Wpg.

Artikel 5 Beveiliging van de Verwerking

Dit artikel gaat over de beveiliging van de Verwerking van Politiegegevens.

De Wpg, zie met name artikel 4a25, verplicht de Verwerkingsverantwoordelijke en de Verwerker om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Artikel 6:1a van de Bpg is de nadere uitwerking van artikel 4a,

22 Wpg Artikel 6a. (toegang tot politiegegevens)

23 Wpg Artikel 6a, derde lid. De verwerkingsverantwoordelijke verleent de verwerker, bedoeld in artikel 6c, eerste lid, alsmede degenen die belast zijn met de controle en het toezicht, bedoeld in de artikelen 33, 34, 35 en 36, alsmede degenen die in zijn opdracht technische werkzaamheden verrichten, toegang tot de politiegegevens die onder zijn beheer worden verwerkt, voor zover zij deze behoeven voor de uitvoering van hun taak.

24 Wpg artikel 6c. (verwerker), derde lid

25 Wpg Artikel 4a. (gegevensbescherming door beveiliging en ontwerp)

eerste en tweede lid van de Wpg26. Het derde lid van artikel 6:1a van de Bpg richt zich tot de verwerkingsverantwoordelijke of de verwerker.

Ingevolge artikel 6c, eerste lid, van de Wpg, doet Opdrachtgever uitsluitend een beroep op Opdrachtnemer indien deze afdoende garandeert dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd opdat bij de Verwerking wordt voldaan de bij en krachtens de Wpg bepaalde vereisten en de bescherming van de rechten van Betrokkene is gewaarborgd.

Voorts bepalen artikel 6c. van de Wpg en 6:1b van de Bpg dat in de Verwerkersovereenkomst wordt geregeld dat Verwerker alle overeenkomstig de Wpg en de Bpg vereiste maatregelen neemt. Zulks wordt in het eerste en tweede lid van artikel 5 van het Model Wpg geregeld.

Ook verwijst het eerste lid van dit artikel 5, met als toevoeging “”onverminderd artikel 2.3 van deze verwerkersovereenkomst”” naar de door Opdrachtnemer te treffen technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2. In deze bijlage moeten de normen en maatregelen die Opdrachtnemer in het kader van de beveiliging van de Verwerking moet treffen nader worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen, de offerte of de offerteaanvraag. Bij maatregelen kan bijvoorbeeld gedacht worden aan maatregelen op het gebied van: toegangsbeveiliging, personele aspecten, fysieke beveiliging, versleuteling van Persoonsgegevens, monitoring en logging.

Wat de maatregel logging betreft: artikel 32a (logging) van de Wpg is nog niet in werking getreden op moment van vaststellen van deze toelichting (zie onderaan).

Bij het treffen van passende technische en organisatorische maatregelen als hierboven bedoeld, moet rekening worden gehouden met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, en met de stand van de techniek en de uitvoeringskosten27.

In artikel 31d van de Wpg28 is geregeld dat zowel de verwerkingsverantwoordelijke (eerste lid, a tot en met j) als de verwerker (tweede lid, a tot en met d)) een register moeten bijhouden. De verwerker moet hierin onder andere, indien mogelijk, bijhouden, een algemene beschrijving van de technische en organisatorische maatregelen als bedoeld in artikel 4a van de Wpg.

Opdrachtgever is in aanvulling op de Wpg in ieder geval gehouden aan de volgende normenkaders: het Besluit voorschrift informatiebeveiliging rijksdienst 2007, het Besluit voorschrift informatiebeveiliging rijksdienst – bijzondere informatie 2013 en de Baseline Informatiebeveiliging Overheid.

De passage ‘onverminderd artikel 2.3’ in het eerste lid, brengt tot uitdrukking dat los van de in Bijlage 2 opgenomen maatregelen, de door Opdrachtnemer getroffen maatregelen altijd passend dienen te zijn in de zin van de Wpg en daarmee inherent de Bpg.

Het derde lid ligt in het verlengde hiervan. Of maatregelen passend zijn kan gedurende de looptijd veranderen, bijvoorbeeld door technologische ontwikkelingen of nieuwe risico’s. Partijen erkennen dit. Gevolg hiervan is dat zij gedurende de dienstverlening periodiek moeten nagaan of de getroffen maatregelen passend zijn en zo nodig aanvullende maatregelen treffen om te zorgen dat deze ‘passend’ blijven. Op grond van de Wpg zijn partijen hiertoe ook verplicht29

In artikel 17a30 van de Wpg worden voorwaarden gesteld aan de doorgifte van Politiegegevens aan derde landen en internationale organisaties.

Indien Partijen voornemens zijn de doorgifte van Politiegegevens naar een derde land of een internationale organisatie op grond van artikel 17a van de Wpg kan dit Model Verwerkersovereenkomst Wpg ARVODI-2018 niet worden gebruikt. Betrek in dit geval specifieke juridische expertise.

26 Dit is geregeld in de Wpg, artikel 4a, zesde lid.

27 Wpg artikel 4a (gegevensbescherming door beveiliging en ontwerp) tweede, derde en vierde lid.

28 Wpg artikel 31d (register)

29 Wpg artikel 4a (gegevensbescherming door beveiliging en ontwerp) vijfde lid.

30 Wpg artikel 17a. (doorgiften aan derde landen).

Het vijfde lid verplicht Opdrachtnemer om Opdrachtgever zonder onredelijke vertraging te informeren over onrechtmatige Verwerkingen van Persoonsgegevens of Inbreuken op de beveiligingsmaatregelen. Het is vervolgens aan Opdrachtgever om te beoordelen of zulks kwalificeert als een meldenswaardige inbreuk in verband met Persoonsgegevens als bedoeld in de artikelen 33a van de Wpg.

Opdrachtgever moet inzicht hebben in alle onrechtmatige verwerkingen van Politiegegevens of Inbreuken op de beveiligingsmaatregelen.

Tot slot regelt het zesde lid dat Opdrachtnemer Opdrachtgever bijstand verleent bij het doen nakomen van de verplichtingen genoemd in de artikelen 4a, 4c, 33a en 33b31 van de Wpg.

Artikel 6 Geheimhouding

Dit artikel gaat over geheimhouding en vertrouwelijkheid. Artikel 6:1b, onder b, van het Besluit politiegegevens schrijft voor dat de Verwerker er zorg voor draagt dat de tot het Verwerken van Politiegegevens gemachtigde personen zich ertoe hebben verplicht vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting daaraan gebonden zijn.

Artikel 732 van de Wpg gaat over de geheimhoudingsplicht voor degene aan wie Politiegegevens ter beschikking zijn gesteld. Degene is verplicht is tot geheimhouding, behoudens voor zover een wettelijke verplichting tot verstrekking verplicht of zijn taak daartoe noodzaakt.

Artikel 7 Subverwerkers

In het derde lid van artikel 6c is opgenomen dat de verwerker en een ieder die handelt onder het beheer van de verwerkingsverantwoordelijke of van de verwerker verwerkt de politiegegevens uitsluitend verwerkt volgens de instructie van de verwerkingsverantwoordelijke, tenzij hij op grond van de nationale wetgeving of Unierecht tot die verwerking verplicht is.

Ingevolge artikel 6c, vierde lid, van de Wpg neemt Opdrachtnemer geen andere verwerker in dienst zonder voorafgaande schriftelijke toestemming van Opdrachtgever. Bij inschakeling van een andere Verwerker dient Opdrachtnemer aan de in artikel 6:1b van het Besluit politiegegevens gestelde voorschriften te voldoen en bij die inschakeling overeenkomstig artikel 6c, vierde lid, van de Wpg te handelen.

Dat Opdrachtnemer hiervoor toestemming nodig heeft is al vastgelegd in artikel 8, eerste lid, van de ARVODI. Dit artikel ziet op onderaanneming en hierin is vastgelegd dat Opdrachtnemer bij het uitvoeren van de Overeenkomst slechts na toestemming van Opdrachtgever gebruik maakt van diensten van derden, waaronder begrepen andere verwerkers. Aan deze toestemming kan Opdrachtgever nadere voorwaarden verbinden. Voorwaarden zijn bijvoorbeeld dat Opdrachtnemer andere verwerkers mag inschakelen, maar dat die andere verwerkers op hun beurt niet zelf weer andere verwerkers mogen inschakelen of dat bij de Verwerking van specifieke soorten Politiegegevens geen verwerkers mogen worden ingeschakeld.

Op basis van het gestelde in artikel 6:1b, onder f, van het Besluit politiegegevens alsmede ingevolge artikel 7 van het Model Wpg, dient Opdrachtnemer bij inschakeling van een andere Verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming op te leggen als die in de Verwerkersovereenkomst zijn opgenomen.

Artikel 8, tweede lid, van de ARVODI regelt dat de toestemming van Opdrachtgever de eigen verantwoordelijkheid en aansprakelijkheid van Opdrachtnemer voor de nakoming van de krachtens de Overeenkomst op hem rustende verplichtingen en van wettelijke verplichtingen, onverlet laat.

31 Wpg artikel 33b. (voorafgaand raadplegen Autoriteit persoonsgegeven

32 Wpg Artikel 7. (geheimhoudingsplicht)

Artikel 8 Bijstand vanwege rechten van Betrokkene

Artikel 6:1b, onder c, van het Besluit politiegegevens bepaalt dat Opdrachtnemer Opdrachtgever met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de Betrokkene te verzekeren.

Het gaat hier om de rechten van Xxxxxxxxxx genoemd in de artikelen uit paragraaf 4 van de Wpg33, betreffende: informatie aan de Betrokkene (24a.), verstrekking van informatie aan de Betrokkene (24b.), recht op inzage (25), recht op rectificatie en vernietiging van Politiegegevens (28). Met betrekking tot de rechten van betrokkenen verschilt dit met de Avg. Betrokkenen hebben dezelfde privacyrechten, zoals recht op inzage, rectificatie en vernietiging. Maar in de richtlijn, c.q. Wpg zijn er meer beperkingen en uitzonderingen opgenomen dan in de Avg. Zie in dat verband artikel 26 Wpg betrekking hebbend op formaliteiten en artikel 27 over de uitzonderingen om dergelijke verzoeken af te wijzen. De beslissing op een verzoek als bedoeld in artikel 25 en 28 geldt als een besluit in de zin van de Awb waartegen bezwaar en beroep kan worden ingesteld. Zie artikel 2934 Wpg.

Artikel 9 Inbreuk op de beveiliging

In aanvulling op de in het Model opgenomen verplichting genoemd in artikel 5, vijfde lid over een onrechtmatige Verwerking of tekortschieten (in de naleving van) beveiligingsmaatregelen, regelt het eerste lid van artikel 9 de wijze waarop Opdrachtnemer Opdrachtgever dient te informeren over Inbreuken op de beveiliging (waaronder datalekken). In Bijlage 3 moet worden vastgelegd hoe Opdrachtnemer Opdrachtgever informeert en welke informatie Opdrachtnemer Opdrachtgever ten minste moet verstrekken.

Op basis van de informatie moet Opdrachtgever kunnen bepalen of sprake is van een meldingswaardige Inbreuk op de beveiliging als bedoeld in artikel 33a, eerste lid en vijfde lid, van de Wpg. Tevens moet Opdrachtgever hierdoor kunnen voldoen aan de ingevolge artikel 32, eerste lid onder d35, opgenomen verplichting om een inbreuk op de beveiliging van politiegegevens36, bedoeld in artikel 33a, inclusief de feiten omtrent de inbreuk, de gevolgen daarvan en de maatregelen die zijn getroffen ter correctie, te documenteren.

In het tweede lid is opgenomen dat Opdrachtnemer Opdrachtgever ook na een melding op grond van het eerste lid moet informeren over ontwikkelingen betreffende een Inbreuk op de beveiliging, opdat Opdrachtgever kan voldoen aan zijn verplichtingen onder meer genoemd in artikel 33a van de Wpg.

Het derde lid legt vast dat Partijen hun eigen kosten dragen die gemoeid zijn met de melding van de Inbreuk op de beveiliging aan de Autoriteit persoonsgegevens.

Artikel 10 Wissen of ter beschikking stellen Politiegegevens

Dit artikel hangt samen met artikel 3 inzake de duur van de Verwerkersovereenkomst. Ingevolge het tweede lid van artikel 3 eindigt deze Verwerkersovereenkomst pas nadat en voor zover Opdrachtnemer alle Politiegegevens overeenkomstig artikel 10 heeft gewist of aan Opdrachtgever ter beschikking heeft gesteld. Het kan dus zijn dat deze Verwerkersovereenkomst van kracht blijft nadat de Overeenkomst is beëindigd.

Contractueel kan worden overeengekomen dat Opdrachtnemer ook tijdens de looptijd van de Overeenkomst c.q. Verwerkersovereenkomst Politiegegevens wist of aan Opdrachtgever ter beschikking stelt. Zie in dit verband het vierde lid van dit artikel.

Ingevolge artikel 6:1b onder d, van het Besluit politiegegevens dient in de Verwerkersovereenkomst geregeld te worden dat Opdrachtnemer na afloop van de Verwerkingen, naargelang de keuze van Opdrachtgever, alle Politiegegevens wist of deze aan Opdrachtgever ter

33 Wpg § 4 Rechten van de betrokkene (artikel 24a t/m 28)

34 Wpg § 4a. Rechtsbescherming Artikel 29. (toepasselijkheid Awb)

35 Wpg Artikel 32. (documentatie)

36 In Wpg 32, eerste lid, onder d wordt gesproken over persoonsgegevens, als bedoeld in artikel 33a, Wpg. Dit lijkt niet correct omdat in artikel 33a, vierde lid, inbreuk op de beveiliging van de politiegegevens staat.

beschikking37 stelt, en bestaande kopieën verwijdert, tenzij opslag van die gegevens verplicht is. Een wettelijke bewaarplicht staat dan ook niet in de weg aan beëindiging van de Verwerkersovereenkomst.

De aanspraak op het ter beschikking stellen van Politiegegevens aan Opdrachtgever ligt in het verlengde van de algemene regeling van artikel 13, vierde lid, van de ARVODI.

Het tweede lid is een optionele bepaling. Door opname van deze bepaling kan geregeld worden binnen welke termijn Opdrachtnemer de Politiegegevens dient te wissen of aan Opdrachtgever ter beschikking te stellen. Voorts bepaalt het artikel dat Opdrachtnemer aan Opdrachtgever een boete verschuldigd is per dag dat hij in gebreke is. De hoogte van de boete en het maximale bedrag dienen te worden ingevuld. Het ingevulde bedrag dient proportioneel te zijn.

Het derde lid is eveneens een optionele bepaling. In dit model zijn twee alternatieve mogelijkheden opgenomen. Deze alternatieven zien op het geval de Politiegegevens aan Opdrachtgever ter beschikking moeten worden gesteld. In het eerste alternatief wordt geregeld dat de vorm waarin de Politiegegevens aan Opdrachtgever ter beschikking moeten worden gesteld te zijner tijd door Opdrachtgever wordt aangegeven. In het tweede alternatief wordt de wijze van de ter beschikking stelling opgenomen in de Verwerkersovereenkomst.

Opdrachtgever dient zich bewust te zijn van de wettelijke bewaartermijnen die hij heeft na te leven. Dat kan tot gevolg hebben dat hij van Opdrachtnemer verlangt bepaalde Politiegegevens eerder te wissen of aan hem ter beschikking te stellen. In dit kader is lid 4 van de Verwerkersovereenkomst opgenomen.

Artikel 11 Informatieverplichting en audit

De Wpg legt aan de verwerkingsverantwoordelijke bijzondere auditverplichtingen op. Deze regels zijn opgenomen in artikel 3338 van de Wpg, artikel 6:539 van het Besluit politiegegevens (Bpg) en in de Regeling periodieke audit politiegegevens (hierna voluit of Rpap)40. Deze regels richten zich in eerste instantie op de verwerkingsverantwoordelijke doch kunnen indirect ook gevolgen hebben voor de verwerker. Daarom worden de voorschriften met betrekking tot audits, zoals opgenomen in de Wpg en de daarop gebaseerde besluiten, hieronder eerst beschreven alvorens nader in te gaan op artikel 11 van dit Model Wpg.

Artikel 33 van de Wpg bepaalt in algemene zijn dat de verwerkingsverantwoordelijke gehouden is de uitvoering van de regels te controleren door middel van het periodiek doen verrichten van privacy audits en van deze controleresultaten een afschrift te doen toekomen aan de Autoriteit persoonsgegevens.

De uitwerking van deze in de Wpg opgenomen audit-verplichting is geregeld in eerdergenoemde nadere regelgeving waaruit volgt dat de verantwoordelijke verplicht is om elk jaar een interne audit41 te doen. Deze interne audit wordt ook wel Wpg-audit genoemd en is nader uitgewerkt in artikel 3 van de Regeling periodieke audit politiegegevens. Deze interne audit kan tot gevolg hebben dat Opdrachtgever hiervoor ook informatie van Opdrachtnemer nodig heeft en medewerking is vereist.

In artikel 6:5, eerste lid van het Besluit politiegegevens42 is ter uitwerking van artikel 33 Wpg bepaald dat verwerkingsverantwoordelijke per 4 jaar de uitvoering door een privacy audit laat controleren. Dit heet ook wel externe Wpg-audit. Aan welke eisen en voorwaarden deze audits moeten voldoen is beschreven in de Regeling periodieke audit politiegegevens.

37 Richtlijn (EU) 2016/680 van 27 april 2016 heeft het niet over ‘ter beschikking stellen’ maar over ‘terugbezorgt’. Zie artikel 22, derde lid, onder d, van de Richtlijn.

38 Wpg Artikel 33. (audits)

39 Bpg Artikel 6:5. Audits (artikel 33, vijfde lid)

40 Regeling van de Minister van Justitie, de Minister van Binnenlandse Zaken en de Minister van Defensie van 9 december 2008, nr. 5578598/08, houdende nadere regels ten aanzien van het toezicht op de naleving van de bij of krachtens de Wet Politiegegevens gegeven voorschriften (Regeling periodieke audit politiegegevens)

41 Rpap Artikel 3. Interne audit (artikel 6:5, vijfde lid)

42 Bpg Artikel 6:5. eerste lid: Twee jaren na inwerkingtreden van de wet, en vervolgens eenmaal in de vier jaren, laat de verwerkingsverantwoordelijke de uitvoering van de bij of krachtens de wet geschreven regels door een privacy audit controleren, op bij ministeriele regeling te bepalen wijze.

Voor een Wpg-audit43 gelden onder meer de volgende eisen:

• De controle moet gaan over hoe het verwerken van Politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.

• Een ieder die betrokken is bij de Wpg-audit is verplicht de Persoonsgegevens44 waarover zij de beschikking hebben gekregen geheim te houden, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of zijn taak daartoe noodzaakt. Hij legt daartoe een geheimhoudingsverklaring af.

• De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.

• De resultaten van de externe Wpg-audit (het auditrapport) moeten aan de Autoriteit persoonsgegevens worden gestuurd.

• Blijkt uit de externe Wpg-audit dat niet (volledig) is voldaan aan de Wpg dan moet binnen een jaar een verbeterplan worden opgesteld voor de onderdelen die niet aan de gestelde voorwaarden voldoen. De resultaten van de hercontrole moeten ook naar de Autoriteit persoonsgegevens worden gestuurd

Zoals in de inleiding - bij het onderdeel reikwijdte - geldt de Wpg ook voor de bod’s en werkgever van boa’s en dus ook de Wpg-auditplicht. Immers boa’s die voor hun opsporingstaken politiegegevens verwerken, vallen onder de Wpg. De bod’s en werkgever van de boa’s zijn immers verwerkingsverantwoordelijk en moeten dus elk jaar een interne Wpg-audit doen en elke 4 jaar een externe Wpg-audit laten uitvoeren.

Opdrachtgever moet erop (kunnen) toezien dat Opdrachtnemer, en eventuele andere (sub) Verwerkers, zich aan de afspraken uit de Verwerkersovereenkomst houden.

Op grond van artikel 6:1b onder e van het Besluit politiegegevens moet in de Verwerkersovereenkomst worden opgenomen dat Opdrachtnemer Opdrachtgever alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen. Om over deze informatie te kunnen beschikken kan Opdrachtgever ook zelf het initiatief nemen. Hiertoe kan Opdrachtgever volstaan met een informatieverzoek aan Opdrachtnemer of, onder verwijzing naar het tweede lid, een zwaarder middel inzetten van een controle of een audit (laten) uitvoeren als concrete omstandigheden daartoe aanleiding geven. Ook dan zal Opdrachtnemer alle medewerking aan audits, waaronder begrepen audits bij Personeel van Opdrachtnemer, moeten verlenen, tenzij dit redelijkerwijs van Xxxxxxxxxxxxx niet kan worden verwacht.

Indien naar de mening van Opdrachtnemer een op grond artikel 11, eerste en of tweede lid, door Opdrachtgever gegeven instructie dan wel verzoek een inbreuk oplevert met een wettelijk voorschrift inzake gegevensbescherming, stelt Opdrachtnemer Opdrachtgever hierover meteen op de hoogte.

Tot slot is in het vierde lid een bepaling opgenomen over de kosten in verband met informatieverstrekking en audits. Uitgangspunt is dat Partijen zelf de kosten dragen. Bij het (laten) uitvoeren van een audit zijn voor beide Partijen doorgaan meer kosten en inspanningen dan bij een eenvoudiger informatieverzoek. Om die reden mag van Opdrachtgever worden verwacht, mede onder verwijzing naar het tweede lid, dat Opdrachtgever alleen tot een audit overgaat als daarvoor een concrete aanleiding is of dit eerder contractueel is overeengekomen.

Indien uit de audit blijkt dat de getroffen beveiligingsmaatregelen onvoldoende zijn, kan Opdrachtgever op grond van artikelen 11, vijfde lid, en 5, tweede lid, van Opdrachtnemer verlangen aanvullende maatregelen te treffen, opdat een passend beveiligingsniveau geborgd is.

43 Rpap Artikel 2. Privacy audit (artikel 6.5, eerste lid) en Rpap Artikel 3. Interne audit (artikel 6.5, vijfde lid)

44 Wpg artikel 33. (audits), vierde lid heeft het over geheimhouding van persoonsgegevens voor een ieder die betrokken is bij een controle als bedoeld in het eerste en derde lid van voornoemd artikel.

Bijlage 1

Het belang van een adequate beschrijving van de te Verwerken Politiegegevens en daaraan gerelateerde Verwerkingsactiviteiten is groot. De algemene verplichtingen uit de Verwerkersovereenkomst krijgen immers vooral inhoud door ze te verbinden aan specifieke Politiegegevens en Verwerkingsactiviteiten.

Bijlage 1 bevat informatie die van belang is voor de te verrichten Verwerkingsactiviteiten zoals het onderwerp en de duur van de Verwerking, de aard en het doel van de Verwerking, het soort Politiegegevens en de categorieën van Betrokkenen.

De inhoud van het wettelijk voorgeschreven verwerkingenregister of een in verband met de voorgenomen Verwerking uitgevoerde gegevensbeschermingseffectbeoordeling (DPIA) kan behulpzaam zijn bij het invullen van de Bijlage.

Indien Opdrachtgever de opgedragen Verwerkingsactiviteit tijdens de looptijd van de Verwerkersovereenkomst wil uitbreiden of inperken dan verdient het aanbeveling Bijlage 1 via een amendement op de Overeenkomst te wijzigen. Niet omdat dit noodzakelijk is om een wijziging overeen te komen, maar omdat Bijlage 1 dan altijd een actueel beeld geeft van de aard en de omvang van de verwerkingsactiviteiten.

Voor een goed begrip; Als Bijlage 1 bij aanvang van de Verwerkersovereenkomst onder het kopje ‘Subverwerkers’ niet verwijst naar het verwerkingenregister, maar naar een concrete subverwerker, dan verdient het aanbeveling om de Bijlage bij amendement aan te vullen als toestemming is verleend voor een tweede subverwerker.

Bijlage 2

In deze bijlage moeten de normen en maatregelen die Opdrachtnemer in het kader van de beveiliging van de Verwerking moet hanteren respectievelijk treffen worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen of de offerteaanvraag.

Bijlage 3

In deze bijlage 3 moeten de afspraken worden gespecificeerd op welke wijze Opdrachtnemer Opdrachtgever informeert als sprake is van Inbreuken in verband met Politiegegevens (waaronder datalekken).

Gegeven de omstandigheid dat voor wat betreft de concrete uitwerking hiervan tussen de verschillende gebruikers van de rijksoverheid verschillen bestaan, zowel organisatorisch als qua werkwijze, is in dit model geen toe te passen standaardprocedure opgenomen. Veelal beschikken de gebruikers over een eigen procedure die hier wordt opgenomen.

Ten slotte is een aantal onderwerpen opgesomd waarover Opdrachtnemer aan Opdrachtgever ten minste informatie moet verstrekken als sprake is van een (vermoedelijke) Inbreuk in verband met Politiegegevens.

Colofon

Deze toelichting is opgesteld onder verantwoordelijkheid van de Commissie Bedrijfsjuridisch Advies (CBA) van de Rijksoverheid. Nadere inlichtingen kunnen ingewonnen worden bij het secretariaat van de CBA (contactgegevens op Rijksportaal).

Uitgegeven november 2023