Privacy: wanneer moet er een verwerkersovereenkomst afgesloten worden?

december 2017

Onze gemeente besteedt verschillende taken uit, waardoor persoonsgegevens door een derde partij verwerkt worden. Een verwerkersovereenkomst moet afgesloten worden tussen een verwerker en een verwerkingsverantwoordelijke, maar het is vaak lastig om te bepalen wie welke rol aanneemt. Daardoor weten we niet of we een verwerkersovereenkomst in de zin van de Algemene verordening gegevensbescherming (AVG) moeten afsluiten? We werken bijvoorbeeld met een clouddienst, moet met de partij die de clouddienst aanbiedt een verwerkersovereenkomst afgesloten worden?

Antwoord in het kort:

Wanneer een gemeente (persoons)gegevens laat verwerken door een andere partij, moet een verwerkersovereenkomst afgesloten worden. Belangrijk is om te kijken of de derde partij als verwerker gekwalificeerd moet worden. Verwerkt de derde partij gegevens ten behoeve van de gemeente? De uitvoering van verwerkingen door een verwerker dient geregeld te worden in een overeenkomst, de verwerkersovereenkomst, of in een wettelijke regeling tussen een verwerkingsverantwoordelijke en een verwerker. De overeenkomst moet schriftelijk of in elektronische vorm zijn vastgelegd ingevolge artikel 28 AVG.

Wanneer is de AVG van toepassing?

Hoewel momenteel de Wet bescherming persoonsgegevens (Wbp) nog geldend recht is, is per 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is van toepassing wanneer persoonsgegevens verwerkt worden. Alles wat met persoonsgegevens gedaan wordt, van verzamelen en vastleggen tot inzien, valt onder het begrip verwerken. Zoals te lezen is in deze praktijkvraag, is het zorgvuldig omgaan met gegevens door zowel de verwerker als de verwerkingsverantwoordelijke niet voldoende. Bij elke verwerking moet vastgesteld worden of de verwerking aan de voorwaarden voor rechtmatige verwerking uit artikel 6 AVG voldoet: Is er een grondslag voor de verwerking, is er sprake van doelbinding , is de verwerking proportioneel en wordt er tevens aan de andere verwerkingsbeginselen voldaan?

Verwerken van persoonsgegevens uitbesteden

Decentrale overheden kunnen besluiten om een andere partij persoonsgegevens ten behoeve van hen te laten verwerken. Bijvoorbeeld zoals in deze praktijkvraag, om persoonsgegevens in een clouddienst op te slaan dat door een partij aangeboden wordt. Of door de personeelsadministratie uit te besteden. Ook kunnen decentrale overheden er bijvoorbeeld voor kiezen om een ICT-systeem extern te laten beheren, waardoor de beheerder persoonsgegevens onder verantwoordelijkheid van de gemeente verwerkt.

Om te kijken of er een verwerkersovereenkomst afgesloten dient te worden, moet er gekeken worden wie de ‘verwerker’ van persoonsgegevens is en wie de ‘verwerkingsverantwoordelijke’ is.

Verwerkersovereenkomst

Een ‘verwerkersovereenkomst’ is een overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker. Op grond van artikel 28 AVG moet de verwerking die een verwerker voor een verwerkingsverantwoordelijke uitvoert, geregeld worden in een (verwerkers)overeenkomst. In deze (verwerkers)overeenkomst moet ingevolge art. 28 AVG staan:

Definitie Verwerker

Een verwerker wordt in artikel 4 lid 8 AVG gedefinieerd als: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’ In de Wbp wordt de ‘verwerker’ een ‘bewerker’ genoemd.

Definitie Verwerkingsverantwoordelijke

De definitie van verwerkingsverantwoordelijke staat in artikel 4 lid 7 AVG. Deze luidt: ‘een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of lidstatelijk recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.’

Bepaling doel en middelen

Om te kijken wie als verwerkingsverantwoordelijke aangewezen wordt, moet ingevolge art. 4 lid 7 AVG gekeken worden naar wie het doel en de middelen van de verwerking bepaald. Er kan worden gekeken naar de situatie van de specifieke verwerking. Bij het opslaan van persoonsgegevens in de cloud, bepaalt de gemeente dat de gegevens daar opgeslagen worden en is dus verwerkingsverantwoordelijke. De clouddienst verwerkt dan ten behoeve van de gemeente deze persoonsgegevens en is dus verwerker. Er is dus een verwerkersovereenkomst vereist tussen gemeente en clouddienst.

Verplichtingen verwerker

Een ‘verwerker” heeft ingevolge artikel 28 AVG enkele verplichtingen. Zo is bijvoorbeeld toestemming nodig voor het in dienst nemen van een andere verwerker (sub-verwerker) (art. 28 lid 2 en 4), een datalek moet worden gemeld (art. 28 lid f en art. 32 lid 2) en een verwerkingsregister moet worden bijgehouden (art. 30 lid 2)

Door:

Femke Salverda, Europa decentraal

Meer informatie:

Algemene verordening gegevensbescherming, Europa decentraal
Verwerken van persoonsgegevens, Europa decentraal
Is zorgvuldig omgaan met gegevens voldoende? Praktijkvraag Europa decentraal
Factsheet verwerkersovereenkomst, Informatiebeveiligingsdienst gemeenten

MEER WETEN OVER DIT ONDERWERP?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG

X