Als gemeente werken wij samen met andere gemeenten in een gemeenschappelijke regeling. Voor het uitvoeren van bepaalde diensten, zoals de personeelsadministratie, schakelen wij een externe partij in. Volgens de AVG dienen wij een verwerkersovereenkomst af te sluiten met deze partij indien deze persoonsgegevens verwerkt ten behoeve van ons als gemeenten. De externe partij is in dat geval de verwerker. Moeten we ook met de andere gemeenten in de gemeenschappelijke regeling een verwerkersovereenkomst sluiten? En moeten wij als gemeenten dan allemaal apart een verwerkersovereenkomst sluiten met de verwerker, of kunnen wij deze ook voor de gemeenschappelijke regeling gezamenlijk afsluiten?
Antwoord in het kort
Wanneer een externe partij, die als ‘verwerker’ in de zin van artikel 4 lid 8 AVG geclassificeerd kan worden, persoonsgegevens verwerkt ten behoeve van een verwerkingsverantwoordelijke moet een verwerkersovereenkomst afgesloten worden. Voor de eerste vraag geldt dat meerdere verwerkingsverantwoordelijken (in dit geval de gemeenten binnen de gemeenschappelijke regeling) met elkaar geen verwerkersovereenkomst hoeven af te sluiten. Wel moeten zij een regeling vaststellen waarin zij hun onderlinge verantwoordelijkheid voor de nakoming van de verplichtingen uit de AVG afstemmen. Als deze verantwoordelijkheden reeds wettelijk zijn vastgelegd, hoeven de verwerkingsverantwoordelijken dit niet nogmaals met een regeling vast te stellen.
Voor de tweede vraag is van belang om eerst te bepalen of de gemeenschappelijke regeling optreedt als verwerkingsverantwoordelijke of als verwerker in de zin van de AVG. Ervan uitgaande dat in dit geval de gemeenschappelijke regeling optreedt als verwerkingsverantwoordelijke, sluit de gemeenschappelijke regeling de verwerkersovereenkomst met de verwerker. De betrokken gemeenten hoeven dan niet deze verwerkersovereenkomst te ondertekenen. In het geval de gemeenschappelijke regeling optreedt als verwerker, sluit zij met de externe partij een sub-verwerkersovereenkomst. Ook dan hoeven de betrokken gemeenten niet mee te ondertekenen.
Wanneer is de AVG van toepassing?
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Wanneer persoonsgegevens worden verwerkt moet aan de vereisten van de AVG worden voldaan. Alles wat met persoonsgegevens gedaan wordt –van verzamelen en vastleggen tot inzien– valt onder het begrip ‘verwerken’.
Alleen zorgvuldig omgaan met persoonsgegevens is niet voldoende. Zowel verwerkingsverantwoordelijken als verwerkers moeten bij de verwerking van persoonsgegevens aan de vereisten van de AVG te voldoen. Bij elke verwerking moet worden vastgesteld of de verwerking aan de voorwaarden voor rechtmatige verwerking uit de AVG voldoet. Is er bijvoorbeeld een grondslag voor de verwerking, is er sprake van doelbinding, is de verwerking proportioneel en wordt er aan de andere verwerkingsbeginselen uit artikel 5 AVG voldaan?
Verwerkersovereenkomst
Om te voldoen aan de verplichtingen van de AVG zullen decentrale overheden in bepaalde gevallen verwerkersovereenkomsten moeten sluiten met derde partijen. Dit moeten zij doen wanneer deze derde partijen ‘verwerkers’ in de zin van artikel 4 lid 8 AVG zijn en persoonsgegevens verwerken ten behoeve van een decentrale overheid, wanneer deze verwerkingsverantwoordelijke is in de zin van artikel 4 lid 7 AVG. Deze verplichting is niet nieuw: onder de Wet bescherming persoonsgegevens bestond ook de verplichting om dergelijke overeenkomsten af te sluiten. Toen werden dit ‘bewerkersovereenkomsten’ genoemd. In artikel 28 lid 3 AVG staat dat in een verwerkersovereenkomst onder meer bepalingen worden opgenomen over aansprakelijkheid en het inhuren van sub-verwerkers. Meer informatie over de inhoud van verwerkersovereenkomsten is terug te lezen in deze praktijkvraag.
Vraag 1: Meerdere verwerkingsverantwoordelijken
In een gemeenschappelijke regeling worden één of meerdere gemeenschappelijke belangen van decentrale overheden behartigd. Voor deze publiekrechtelijke samenwerking is het openbaar lichaam de meest gebruikte vorm dat op basis van de Wet gemeenschappelijke regelingen kan worden ingesteld om de gezamenlijke belangen te behartigen of om bepaalde taken voor de betrokken decentrale overheden uit te voeren. Wanneer hierbij persoonsgegevens worden verwerkt door een externe partij moet er mogelijk een verwerkersovereenkomst worden afgesloten. Dit hangt echter af van de juridische hoedanigheid van waaruit de gemeenschappelijke regeling optreedt, namelijk als verwerkingsverantwoordelijke of als verwerker. Deze juridische kwalificatie moet voor elk concreet geval worden gemaakt.
Verwerkingsverantwoordelijke
In de meeste situaties zal de gemeenschappelijke regeling optreden als verwerkingsverantwoordelijke, omdat het openbaar lichaam zelf bepaalt welke persoonsgegevens worden verwerkt, hoe deze gegevens worden verkregen en hoe lang de gegevens worden bewaard. Een voorbeeld hiervan zijn de Veiligheidsregio’s waar op basis van artikel 9 Wet veiligheidsregio’s een openbaar lichaam (veiligheidsregio) is ingesteld.
Wanneer de betrokken gemeenten en de gemeenschappelijke regeling optreden als verwerkingsverantwoordelijke hoeven zij onderling geen verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG af te sluiten. Zij hebben namelijk geen verwerkersrelatie met elkaar. Wel moeten zij een regeling vaststellen waarin hun onderlinge verantwoordelijkheid voor de nakoming van de verplichtingen uit de AVG wordt opgenomen. De AVG stelt geen eisen aan de precieze vorm van deze regeling. Volgens artikel 26 AVG is het van belang dat de gezamenlijke verwerkingsverantwoordelijken ingaan op het garanderen van de rechten van de betrokkene en de informatieplicht van de artikelen 13 en 14 AVG. In deze regeling kan bijvoorbeeld een contactpunt voor betrokkenen worden aangewezen, zodat duidelijk is waar iemand een vraag over de verwerking van zijn of haar persoonsgegevens kan stellen. De gezamenlijke verwerkingsverantwoordelijken hoeven geen onderlinge regeling vast te stellen wanneer hun onderlinge verantwoordelijkheden reeds zijn vastgesteld in het Unierecht of lidstatelijk recht.
Verwerker
Als de gemeenschappelijke regeling juridisch moet worden gekwalificeerd als verwerker, dan zal de gemeenschappelijke regeling een sub-verwerkersovereenkomst moeten sluiten met de sub-verwerker. Gedacht kan worden aan een gemeenschappelijke regeling die voor een aantal gemeenten de hosting verzorgt of de salarisadministratie, maar een deel van deze taken weer uitbesteedt aan een externe partij. Deze externe partij wordt dan aangemerkt als sub-verwerker.
Vraag 2: Gezamenlijke ondertekening
Pas wanneer juridisch duidelijk is in welke hoedanigheid de gemeenschappelijke regeling op basis van de AVG optreedt, kan de vraag worden beantwoord wie met wie een verwerkersovereenkomst moet sluiten en wie deze overeenkomst vervolgens moet ondertekenen. Deze juridische kwalificatie moet in het concrete geval worden bepaald. Als de gemeenschappelijke regeling optreedt als verwerkingsverantwoordelijke, dan sluit de gemeenschappelijke regeling de verwerkersovereenkomst met de verwerker. De betrokken gemeenten hoeven dan niet deze verwerkersovereenkomst te ondertekenen. Als de gemeenschappelijke regeling optreedt als verwerker, sluit de gemeenschappelijke regeling een sub-verwerkersovereenkomst. De betrokken gemeenten zijn geen contractspartij bij de sub-verwerkersovereenkomst en hoeven de sub-verwerkersovereenkomst daarom niet te ondertekenen.
Good practice
Op basis van het voorgaande wordt het in de praktijk steeds meer een good practice om bij de totstandkoming van de gemeenschappelijke regeling de juridische hoedanigheid te bepalen van waaruit de gemeenschappelijke regeling optreedt op basis van de AVG. Op die manier voldoen decentrale overheden niet alleen aan het uitgangspunt van privacy by design, maar wordt ook onnodige discussie over de juridische hoedanigheid van de gemeenschappelijke regeling voorkomen.
Meer informatie
AVG, Kenniscentrum Europa Decentraal
Verwerken van persoonsgegevens, Kenniscentrum Europa Decentraal
Factsheet verwerkersovereenkomst, Informatiebeveiligingsdienst gemeenten