Met welke partijen moet een gemeente die deelneemt in een gemeenschappelijke regeling een verwerkersovereenkomst sluiten?

mei 2018

Als gemeente werken wij samen met andere gemeenten in een gemeenschappelijke regeling. Voor het uitvoeren van bepaalde diensten, zoals de personeelsadministratie, schakelen wij een externe partij in. Volgens de AVG dienen wij een verwerkersovereenkomst af te sluiten met deze partij indien deze persoonsgegevens verwerkt ten behoeve van ons als gemeenten. De externe partij is in dat geval de verwerker. Wij hebben hierover twee vragen. Allereerst: moeten we ook met de andere gemeenten in de gemeenschappelijke regeling een verwerkersovereenkomst sluiten? En ten tweede: moeten wij als gemeenten allemaal apart een verwerkersovereenkomst sluiten met de verwerker, of kunnen wij deze ook voor de gemeenschappelijke regeling gezamenlijk afsluiten?

ANTWOORD IN HET KORT:

Wanneer een externe partij, die als ‘verwerker’ in de zin van artikel 4 lid 8 AVG geclassificeerd kan worden, persoonsgegevens verwerkt ten behoeve van een verwerkingsverantwoordelijke moet een verwerkersovereenkomst afgesloten worden. Met betrekking tot de eerste vraag geldt dat meerdere verwerkingsverantwoordelijken (in dit geval de gemeenten binnen de gemeenschappelijke regeling) met elkaar geen verwerkersovereenkomst hoeven af te sluiten. Wel moeten zij een regeling vaststellen waarin zij hun onderlinge verantwoordelijkheid voor de nakoming van de verplichtingen uit de AVG afstemmen. Als deze verantwoordelijkheden reeds wettelijk zijn vastgelegd hoeven de verwerkingsverantwoordelijken dit niet nogmaals met een regeling vast te stellen.

Voor de tweede vraag is van belang dat noch in de AVG, noch in de Nederlandse Uitvoeringswet is vastgelegd of meerdere verwerkingsverantwoordelijken afzonderlijk of gezamenlijk een verwerkersovereenkomst met de verwerker moeten afsluiten. De verwerkingsverantwoordelijke moet volgens de AVG kunnen aantonen dat hij de verwerking door de verwerker heeft geregeld in een overeenkomst. Het zal hierbij niet uitmaken of de overeenkomst door meerdere verwerkingsverantwoordelijken is ondertekend.

WANNEER IS DE AVG VAN TOEPASSING?

Hoewel momenteel de Wet bescherming persoonsgegevens (Wbp) nog geldend recht is, wordt per 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing. Aan de vereisten van de AVG moet worden voldaan wanneer persoonsgegevens verwerkt worden. Alles wat met persoonsgegevens gedaan wordt – van verzamelen en vastleggen tot inzien – valt onder het begrip verwerken.

Zoals te lezen is in deze praktijkvraag is het zorgvuldig omgaan met persoonsgegevens alleen niet voldoende. Zowel verwerkingsverantwoordelijken als verwerkers dienen bij de verwerking van persoonsgegevens aan de vereisten van de AVG te voldoen. Bij elke verwerking moet vastgesteld worden of de verwerking aan de voorwaarden voor rechtmatige verwerking uit de AVG voldoet: is er een grondslag voor de verwerking, is er sprake van doelbinding, is de verwerking proportioneel en wordt er tevens aan de andere verwerkingsbeginselen uit artikel 5 AVG voldaan?

VERWERKERSOVEREENKOMST

Om te voldoen aan de verplichtingen van de AVG zullen decentrale overheden in bepaalde gevallen verwerkersovereenkomsten moeten sluiten met derde partijen. Dit moeten zij doen wanneer deze derde partijen ‘verwerkers’ in de zin van artikel 4 lid 8 AVG zijn en persoonsgegevens verwerken ten behoeve van een decentrale overheid, wanneer deze verwerkingsverantwoordelijke is in de zin van artikel 4 lid 7 AVG. Deze praktijk is niet nieuw: onder de Wbp bestaat ook de verplichting om dergelijke overeenkomsten af te sluiten, al worden deze daarin ‘bewerkersovereenkomsten’ genoemd. In artikel 28 lid 3 AVG staat dat in een verwerkersovereenkomst onder meer bepalingen worden opgenomen over aansprakelijkheid en het inhuren van sub-verwerkers. Meer informatie over de inhoud van verwerkersovereenkomsten is terug te lezen in deze praktijkvraag.

VRAAG 1: MEERDERE VERWERKINGSVERANTWOORDELIJKEN

In een gemeenschappelijke regeling wordt het behartigen van een of meerdere gemeenschappelijke belangen van openbare lichamen geregeld. Vaak wordt daarbij een nieuwe rechtspersoon opgericht die deze gezamenlijke belangen behartigt of bepaalde taken voor de openbare lichamen uitvoert. Wanneer hierbij persoonsgegevens verwerkt worden, kan het zijn dat een verwerkersovereenkomst moet worden afgesloten.

Wanneer verschillende gemeenten bij een gemeenschappelijke regeling betrokken zijn en deze persoonsgegevens laten verwerken door een andere partij, zullen als eerste de rollen van de betrokken partijen in kaart moeten worden gebracht. De gemeenten die het doel en de middelen van de verwerking vaststellen, zullen de verwerkingsverantwoordelijken zijn. De gemeente of andere partij die ten behoeve van deze verwerkingsverantwoordelijken persoonsgegevens verwerkt zal de verwerker zijn. Het is dus mogelijk dat meerdere gemeenten binnen de gemeenschappelijke regeling gezamenlijk verwerkingsverantwoordelijke zijn.

De gemeenten in de gemeenschappelijke regeling die verantwoordelijk zijn voor het verwerken van persoonsgegevens hoeven onderling geen verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG af te sluiten. Wel moeten zij een regeling vaststellen waarin zij hun onderlinge verantwoordelijkheid voor de nakoming van de verplichtingen uit de AVG afstemmen. De AVG stelt geen eisen aan de precieze vorm van deze regeling. Volgens artikel 26 AVG is het met name van belang dat de gezamenlijke verwerkingsverantwoordelijken ingaan op het garanderen van de rechten van de betrokkene en de informatieplicht van de artikelen 13 en 14 AVG. De gezamenlijke verwerkingsverantwoordelijken hoeven geen onderlinge regeling vast te stellen wanneer hun onderlinge verantwoordelijkheden reeds zijn vastgesteld in het Unierecht of lidstatelijk recht.

 VRAAG 2: GEZAMENLIJKE ONDERTEKENING

Zowel in de AVG, als in de Nederlandse Uitvoeringswet AVG zijn geen regels opgenomen over het wel of niet afzonderlijk afsluiten van de verwerkersovereenkomst met de verwerker wanneer er meerdere verwerkingsverantwoordelijken zijn. Belangrijk voor decentrale overheden is om aan hun plichten van de AVG te voldoen. Artikel 28 lid 3 AVG stelt dat de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens door de verwerker regelt in een overeenkomst. De verwerkingsverantwoordelijke moet dus kunnen aantonen dat hij de verwerking door de verwerker heeft geregeld in een overeenkomst. Het maakt hierbij niet uit dat de overeenkomst door meerdere verwerkingsverantwoordelijken is ondertekend.

Het staat de gemeenten in de gemeenschappelijk regeling dus vrij om allemaal apart een verwerkersovereenkomst te sluiten met de verwerker, of om gezamenlijk een verwerkersovereenkomst af te sluiten met de verwerker die persoonsgegevens verwerkt voor de gemeenten. Zolang de voor de verwerking van persoonsgegevens verantwoordelijke gemeenten maar kunnen aantonen dat zij de verwerking van persoonsgegevens door de verwerker hebben geregeld in een overeenkomst.

Door:

Juliëtte Fredriksz, Europa decentraal

Meer informatie

Algemene verordening gegevensbescherming, Europa decentraal
Privacy, Themapagina Europa decentraal
Verwerken van persoonsgegevens, Europa decentraal
Verwerker, verwerkingsverantwoordelijke en verwerkersovereenkomst, Europa decentraal
Wanneer moet er een verwerkersovereenkomst afgesloten worden?, Praktijkvraag Europa decentraal
Factsheet verwerkersovereenkomst, Informatiebeveiligingsdienst gemeenten
Model verwerkersovereenkomst, Informatiebeveiligingsdienst gemeenten

X