Onze gemeente besteedt verschillende taken uit, waardoor persoonsgegevens door een derde partij verwerkt worden. Een verwerkersovereenkomst moet afgesloten worden tussen een verwerker en een verwerkingsverantwoordelijke, maar het is vaak lastig om te bepalen wie welke rol aanneemt. Daardoor weten we niet of we een verwerkersovereenkomst in de zin van de Algemene verordening gegevensbescherming (AVG) moeten afsluiten? We werken bijvoorbeeld met een clouddienst, moet met de partij die de clouddienst aanbiedt een verwerkersovereenkomst afgesloten worden?
Antwoord in het kort
Wanneer een gemeente (persoons)gegevens laat verwerken door een andere partij, moet een verwerkersovereenkomst afgesloten worden. Belangrijk is om te kijken of de derde partij als verwerker gekwalificeerd moet worden. Verwerkt de derde partij gegevens ten behoeve van de gemeente? De uitvoering van verwerkingen door een verwerker dient geregeld te worden in een overeenkomst, de verwerkersovereenkomst, of in een wettelijke regeling tussen een verwerkingsverantwoordelijke en een verwerker. De overeenkomst moet schriftelijk of in elektronische vorm zijn vastgelegd ingevolge artikel 28 AVG.
Wanneer is de AVG van toepassing?
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing wanneer persoonsgegevens verwerkt worden. Alles wat met persoonsgegevens gedaan wordt, van verzamelen en vastleggen tot inzien, valt onder het begrip verwerken. Zoals te lezen is in deze praktijkvraag, is het zorgvuldig omgaan met gegevens door zowel de verwerker als de verwerkingsverantwoordelijke niet voldoende. Bij elke verwerking moet vastgesteld worden of de verwerking aan de voorwaarden voor rechtmatige verwerking uit artikel 6 AVG voldoet: Is er een grondslag voor de verwerking, is er sprake van doelbinding, is de verwerking proportioneel en wordt er tevens aan de andere verwerkingsbeginselen voldaan?
Verwerken van persoonsgegevens uitbesteden
Decentrale overheden kunnen besluiten om een andere partij persoonsgegevens ten behoeve van hen te laten verwerken. Bijvoorbeeld zoals in deze praktijkvraag, om persoonsgegevens in een clouddienst op te slaan dat door een partij aangeboden wordt. Of door de personeelsadministratie uit te besteden. Ook kunnen decentrale overheden er bijvoorbeeld voor kiezen om een ICT-systeem extern te laten beheren, waardoor de beheerder persoonsgegevens onder verantwoordelijkheid van de gemeente verwerkt.
Om te kijken of er een verwerkersovereenkomst afgesloten dient te worden, moet er gekeken worden wie de ‘verwerker’ van persoonsgegevens is en wie de ‘verwerkingsverantwoordelijke’ is.
Verwerkersovereenkomst
Een ‘verwerkersovereenkomst’ is een overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker. Op grond van artikel 28 AVG moet de verwerking die een verwerker voor een verwerkingsverantwoordelijke uitvoert, geregeld worden in een (verwerkers)overeenkomst. In deze (verwerkers)overeenkomst moet ingevolge artikel. 28 AVG staan:
- het onderwerp,
- de duur van de verwerking,
- de aard en het doel,
- het soort persoonsgegevens en de categorieën van de betrokkene,
- de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Definitie Verwerker
Een verwerker wordt in artikel 4 lid 8 AVG gedefinieerd als: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’ In de Wbp wordt de ‘verwerker’ een ‘bewerker’ genoemd.
Definitie Verwerkingsverantwoordelijke
De definitie van verwerkingsverantwoordelijke staat in artikel 4 lid 7 AVG. Deze luidt: ‘een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of lidstatelijk recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.’
Bepaling doel en middelen
Om te kijken wie als verwerkingsverantwoordelijke aangewezen wordt, moet ingevolge artikel 4 lid 7 AVG gekeken worden naar wie het doel en de middelen van de verwerking bepaald. Er kan worden gekeken naar de situatie van de specifieke verwerking. Bij het opslaan van persoonsgegevens in de cloud, bepaalt de gemeente dat de gegevens daar opgeslagen worden en is dus verwerkingsverantwoordelijke. De clouddienst verwerkt dan ten behoeve van de gemeente deze persoonsgegevens en is dus verwerker. Er is dus een verwerkersovereenkomst vereist tussen gemeente en clouddienst.
Verplichtingen verwerker
Een verwerker heeft ingevolge artikel 28 AVG enkele verplichtingen. Zo is bijvoorbeeld toestemming nodig voor het in dienst nemen van een andere verwerker (sub-verwerker) (artikel 28 lid 2 en 4), een datalek moet worden gemeld (artikel 28 lid f en artikel 32 lid 2) en een verwerkingsregister moet worden bijgehouden (artikel 30 lid 2).
Meer informatie
Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Verwerken van persoonsgegevens, Kenniscentrum Europa decentraal
Is zorgvuldig omgaan met gegevens voldoende?, Kenniscentrum Europa decentraal
Factsheet verwerkersovereenkomst, Informatiebeveiligingsdienst gemeenten
Meer weten over dit onderwerp?
Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal: