De infosessie verwerkersovereenkomsten van 9 augustus was een klinkend succes. Met zo'n 55 deelnemers konden we rekenen op een grote hoeveelheid input van de lokale besturen. Alle vragen, van eenvoudig tot complex, werden door de advocate Yung Shin uitvoerig behandeld. Dit verslag geeft in grote lijnen de inhoud weer van de infosessie.
Kurt Penninck: tool informatieveiligheid V-ICT-OR
Kurt Penninck, beleidsmedewerker voor stad/OCMW Blankenberge en kennismedewerker van V-ICT-OR, kwam spreken over de informatieveiligheidstool. Die krijgt namelijk een gloednieuwe functionaliteit verwerkersovereenkomsten die u de mogelijkheid biedt een overzicht van alle opgemaakte verwerkersovereenkomsten te bekomen en nieuwe verwerkersovereenkomsten op te stellen. Voor dit laatste aspect maakt u gebruik van de ‘generieke verwerkersovereenkomst’ van V-ICT-OR (origineel en juridisch correct, want gecontroleerd door advocatenkantoor time.lex) of uploadt u zelf een sjabloon verwerkersovereenkomst (bv. met huisstijl lokaal bestuur). Voor de generieke verwerkersovereenkomst heeft V-ICT-OR zich deels gebaseerd op een Nederlandse generieke verwerkersovereenkomst die niet vanuit juridisch maar wel vanuit pragmatisch oogpunt is opgesteld, wat dan weer zorgt voor een quasi onmiddellijke praktische inzetbaarheid.
Yung Shin: vraag-antwoordmoment
Yung Shin is advocate bij het niche advocatenkantoor time.lex dat gespecialiseerd is in gegevensbescherming, privacy, intellectuele eigendomsrecht, ICT-overeenkomsten, enz. Op vraag van V-ICT-OR kwam zij uitleg geven over de privacywetgeving en vragen beantwoorden rond verwerkersovereenkomsten. In wat volgt vindt u de vragen uit het publiek en de antwoorden die Yung Shin ons gaf (samengevat weliswaar). Uiteraard is de werking van ieder lokaal bestuur iets anders, maar de antwoorden kunnen u alvast een leidraad geven om verder aan de slag te gaan rond verwerkersovereenkomsten in uw bestuur.
Deelnemers interactief vraag-antwoordmoment: Yung Shin Van Der Sype, Hendrik van Haele, Kurt Penninck, Eddy Van Der Stock, mensen uit lokale besturen.
Vraag: Is het wel nodig om een verwerkersovereenkomst als apart document op te stellen? Kunnen we dit niet opvangen aan de hand van een simpel zinnetje in de NDA (vertrouwelijkheidsovereenkomst)?
Yung Shin: Ik zou toch een kleine verwerkersovereenkomst opstellen, maar dit hoeft slechts een pagina lang te zijn.
Vraag: Veel punten die in een normale verwerkersovereenkomst staan zijn bij ons niet van tel. Is het dan wel de moeite om een volledige verwerkersovereenkomst op te stellen?
Yung Shin: Dat raad ik toch aan. Het weglaten van bepaalde onderdelen van de verwerkersovereenkomst kan problematisch zijn. Zo heb ik bij de drukker mijn thesis (dat persoonsgegevens bevatte) qua vorm iets anders samengesteld dan mijn medestudenten. De drukker heeft mijn thesis vervolgens online gezet en heeft het dus voor een totaal ander doel ingezet dan oorspronkelijk bedoeld was. Achteraf gezien had ik beter mijn recht van verzet of recht op verwijdering toegepast t.a.v. de verwerking.
Vraag: Op den duur moet je overeenkomst sluiten met broodjeszaken. Je geeft immers namen door van de personen die bestellingen plaatsen. Dit komt ook neer op persoonsgegevens… hoe dek je jezelf in m.b.t. de AVG?
Yung Shin: Leg de lijst met namen en type broodje op een niet zichtbare plaats. De mensen van het onthaal moeten in principe de broodjes per persoon gaan uitdelen. Zorg dat je altijd als bedrijf iets op papier hebt t.a.v. het bedrijf dat je persoonsgegevens verwerkt (in dit geval de broodjeszaak).
Vraag: Wij stellen open data ter beschikking. Externen gaan gebruikmaken van onze data. Soms trekken zij daar conclusies uit waar wij niet achter staan. Hoe kunnen we deze praktijk een halt toeroepen?
Yung Shin: Zorg ervoor dat dit in jullie algemene voorwaarden wordt opgenomen. De AVG is hier niet noodzakelijk van toepassing. Jullie stellen waarschijnlijk gegevens ter beschikking op een platform waar algemene voorwaarden aan gekoppeld is. Pas die voorwaarden aan voor zover nodig. Zo kunnen jullie je distantiëren wanneer er conclusies getrokken worden waar jullie niet achter staan.
Vraag: Onze personeelsdiensten krijgen momenteel veel contracten binnen van verzekeringsmaatschappijen, maaltijdchequebedrijven… Is er dan sprake van verschillende verwerkingsverantwoordelijken? Of spreken we nog steeds over een relatie verwerkingsverantwoordelijke-verwerker? Meestal worden alleen naam en adres van werknemers doorgegeven.
Yung Shin: Hangt af van wat er moet gebeuren. In sommige situaties zal u inderdaad de relatie verwerkingsverantwoordelijke-verwerker kunnen hanteren, maar als het op verzekeringsmaatschappijen aankomt zal er een gedeelde verantwoordelijkheid zijn als verwerkingsverantwoordelijke. Bepaal voor elk geval apart wie verwerker is en wie verwerkingsverantwoordelijke (andere partij zal dat ook meedelen). Bv. Ethias zou kunnen zeggen dat u verantwoordelijk bent voor uw persoonsgegevens, totdat u ze aan hen doorgeeft en dan wordt Ethias een tweede verwerkingsverantwoordelijke.
Vraag: Ik heb al een contract zien voorbijkomen waar een lijst van beveiligingsmaatregelen in vervat zit. Het contract bevat tevens een zin die aangeeft dat de verwerkingsverantwoordelijke bij het tekenen van het contract ermee instemt dat de opgesomde maatregelen voldoende zijn. Hier heb ik mijn bedenkingen bij. Als er nieuwe bedreigingen komen, dan staan deze niet in de lijst vermeld.
Yung Shin: Zo’n type contract zou ik niet ondertekenen. U zou bijna moeten beroep doen op een audit om te zien of dit voldoende maatregelen zijn om een degelijke informatieveiligheid en persoonsgegevensbescherming te waarborgen. Dit is de eerste keer dat ik zoiets hoor; wat ik wel al heb gezien is dat de verwerker zegt waar de focus inzake informatieveiligheid zit of hoe hun planning eruitziet.
Kurt: Je zou ook simpelweg kunnen verwijzen naar de richtsnoeren informatieveiligheid. Die bestaan, laten we er dan ook gebruik van maken. De verwerker moet minimaal hetzelfde niveau van informatieveiligheid garanderen als dat van de verwerkingsverantwoordelijke. Specifiek voor de OCMW’s zou je kunnen verwijzen naar de minimale normen KSZ. In onze modelovereenkomst verwijzen we naar zowel de richtsnoeren als de minimale normen. Het heeft weinig zin om een selectie beveiligingsmaatregelen te beginnen maken, want binnen de kortste keren is dit achterhaald.
Eddy: Dat kan ik beamen. De richtsnoeren kunnen een leidraad vormen voor de technische en organisatorische maatregelen die moeten worden genomen door zowel de verwerkingsverantwoordelijke als de verwerker.
Vraag: We hebben veel problemen rond de subverwerkers. De verwerkers zeggen soms dat de verwerkingsverantwoordelijke zich niet kan verzetten tegen de aanstelling van een subverwerker door de verweker indien de subverwerker voldoet aan de voorwaarden. Klopt dit?
Yung Shin: Onder de Engelse AVG zou je hier in principe nog mee kunnen spelen, maar de Belgische wet lijkt wel strenger. Art. 28 AVG wijst erop dat de verwerkingsverantwoordelijke wel bezwaar moet kunnen maken tegen de aanstelling van een subverwerker.
Vraag: Mocht er toch zo’n overeenkomst getekend worden, staat de wet dan qua inhoud boven datgene wat er contractueel is bepaald?
Yung Shin: Dus de vraag is eigenlijk: kan er contractueel van de wet worden afgeweken? Nee, want de wet is dwingend. Je kunt wel in je contract aangeven dat je de bepalingen die volgens art. 28 AVG niet kunnen als onbestaande beschouwt.
Vraag: Sommige gaan heel ver in hun bepalingen. Een bepaalde verwerker zei “als wij een subverwerker aanduiden in een land waar er een overeenkomst mee is, dan kunt u zich niet verzetten”. Anderen zeggen “Wij zullen niet zeggen wie onze subverwerkers zijn”. Kan dat zomaar?
Yung Shin: Ik zou toch zeker pushen voor een lijst van profielen. Dus zelfs als men u niet de namen van de subverwerkers wil doorgeven, dan zou ik nagaan voor welke verwerkingen de subverwerkers worden ingeschakeld. Daar zullen de meeste bedrijven normaliter wel mee akkoord gaan. Vele grote spelers hebben tegenwoordig trouwens online een lijst staan van hun verwerkers.
Vraag: Het is toch moeilijk om bezwaar te maken als je geen bedrijfsnaam hebt om naar te refereren?
Yung Shin: Klopt, maar omdat er wettelijk gezien geen sprake is van de subverwerker in kwestie (omdat de verwerker u niet informeert of wilt informeren), kunt u ook geen bezwaar maken. Dit hoeft geen groot struikelblok te zijn. Als de verwerker u niet inlicht, en het blijkt dat de verwerker toch subverwerkers heeft aangesteld, dan heeft hij zijn overeenkomst niet nageleefd. Maar in de meeste gevallen zult u het nooit weten.
Vraag: Wij hebben dat probleem voorgehad. Er was doorgifte gebeurd van onze gegevens naar China, en in China heeft er zich een datalek voorgedaan. We hebben dat lek moeten doorgeven aan de Gegevensbeschermingsautoriteit omdat wij er verantwoordelijk voor waren.
Yung Shin: Als men de subverwerkers niet meedeelt, en er blijken achteraf problemen te zijn, dan geeft u het probleem gewoon aan bij de Gegevensbeschermingsautoriteit. Er is weinig meer dat u kunt doen hieraan.
Eddy: het is belangrijk dat deze clausule (lees: de clausule m.b.t. subverwerkers) wordt opgenomen. Er is ook zoiets als de communicatieplicht van de verwerker: als er iets wijzigt inzake de verwerking, dan moet dit gecommuniceerd worden, en wanneer er wijzigingen zijn waar de verwerkingsverantwoordelijke niet mee akkoord gaat, dan moet hij/zij daar bezwaar tegen kunnen indienen.
Vraag van Hendrik: Is de vermelding van de subverwerkers verplicht volgens de wet?
Yung Shin: Het is een losstaande paragraaf in de wet. Het krijgt dus meer waarde dan als het in een opsomming zou staan. De wet schrijft het voor en uw overeenkomst moet in lijn zijn met de wet.
Vraag: Als de lijst van verwerkers op een website is geplaatst, en de lijst wordt aangepast, mag dit dan worden gezien als ‘informeren’?
Yung Shin: Eigenlijk niet, dit is niet voldoende. Men moet u ook bijkomend informeren wanneer de lijst wijzigt, bv. via een mailtje.
Vraag: Is het niet verstandiger om die lijst op te nemen in het contract in de plaats van het online te zetten?
Yung Shin: Op zich is het geen probleem dat deze lijst online staat. Wat u kunt doen is de huidige versie van de lijst opnemen in het contract, en vervolgens informeren wanneer er wijzigingen zijn aan die lijst.
Vraag: Wat impliceert het recht op verzet tegen de verwerking (en dan specifiek m.b.t. subverwerkers)? Betekent dit bv. een annulering van de overeenkomst?
Yung Shin: In onze vaste template van time.lex voorzien we 3 alternatieve scenario’s hiervoor.
- Alternatief A: De leverancier zal geen persoonsgegevens van de klant doorgeven aan de subverwerker.
- Alternatief B: De leverancier mag geen persoonsgegevens delen met de subverwerker tot er redelijke stappen zijn ondernomen om aan de bezwaren van de klant tegemoet te komen (waarom is de subverwerker wel een goede optie?) en de klant schriftelijk en met redelijke uitleg van de genomen stappen is geïnformeerd.
- Alternatief C: De leverancier werkt te goeder trouw samen met de klant om een commercieel redelijke wijziging in de dienstverlening te bewerkstelligen die het gebruik van de voorgestelde subverwerker vermijdt. Indien een dergelijke wijziging niet kan worden doorgevoerd binnen x dagen na ontvangst door leverancier van de kennisgeving door klant, niettegenstaande enige bepaling in de overeenkomst, kan de klant middels schriftelijke kennisgeving, met onmiddellijke ingang en zonder rechterlijke tussenkomst de overeenkomst beëindigen.
Stap C gaat al heel ver, dit zal in de meeste gevallen niet kunnen afgedwongen worden of u moet al een sterke onderhandelingspositie hebben.
Vraag: De verwerker moet volgens de AVG ‘without undue delay’ (dus: zonder onredelijke vertraging) de verwerkingsverantwoordelijke op de hoogte stellen van een privacy-inbreuk. Hoe mag ik die termijn opvatten?
Yung Shin: Het is belangrijk dat die termijn zo kort mogelijk is. Hoe langer de melding van het datalek aan de verwerkingsverantwoordelijke uitblijft, des te groter de kans dat dit uitlekt naar het grote publiek. De ‘kennisname’ van het datalek door de verwerkingsverantwoordelijke (dus het tijdstip vanaf wanneer de verantwoordelijke het lek moet melden aan de Gegevensbeschermingsautoriteit en, indien nodig, aan de betrokkenen) komt in principe overeen met het tijdstip van de officiële melding door de verwerker. Vanaf dan heeft de verwerkingsverantwoordelijke 72 u de tijd om het lek te melden aan de Gegevensbeschermingsautoriteit. De melding aan de betrokkene moet sneller plaatsvinden (‘onverwijld’). Het vermoeden van de verwerkingsverantwoordelijke dat er een datalek heeft plaatsgevonden is niet voldoende om te kunnen spreken over ‘kennisname’. In uitzonderlijke gevallen komt de verwerkingsverantwoordelijke via andere kanalen het datalek te weten, bv. door een openbare publicatie van het datalek buiten de verwerker om. In dat geval mag u ook spreken van een kennisname en begint uw tijd te lopen voor de melding van het lek. Let op: de tijd die het kost voor de verwerker om het datalek aan u als verwerkingsverantwoordelijke te melden wordt in principe niet afgetrokken van de 72 u (kalenderdagen, niet werkdagen) die u heeft om de Gegevensbeschermingsautoriteit in te lichten. Conclusie: laat als verwerker het datalek niet liggen. Verwerkingsverantwoordelijken: stel bij een vermoeden van datalek zo snel mogelijk een onderzoek in om te verifiëren of het datalek effectief bestaat.
Vraag: De caps (kosten bij overtreding contractuele voorwaarden) die in de verwerkersovereenkomst zijn opgenomen zijn in strijd met art. 82 AVG waar de aansprakelijkheid van de verwerker wordt omschreven. Het gaat daar over elke vorm van materiële en immateriële schade.
Yung Shin: De caps zijn effectief van toepassing wanneer er een niet-naleving is van het contract. Die caps kunnen zowel concreet als algemeen worden omschreven in de overeenkomst. Natuurlijk: hoe concreter, hoe praktischer inzetbaar de clausule.
Vraag Hendrik: Audits vinden doorgaans plaats tijdens de normale kantooruren. Zijn er uitzonderingen voorzien wanneer we spreken over datalekken? Deze moeten immers zo snel mogelijk gemeld worden.
Yung Shin: Klopt, de auditwetgeving voorziet een uitzondering: “Audits en inspecties vinden plaats tijdens de normale kantooruren (…), tenzij dit op spoedeisende basis dient te geschieden.” U mag een datalek beschouwen als een geldige voorbeeld van ‘spoedeisende basis’. In de verwerkersovereenkomst kunt u ook bepalen hoe vaak per jaar er een audit plaatsvindt.
(25:06 filmpje 0002): Vraag: De relatie tussen verwerkingsverantwoordelijke, verwerker en subverwerker is mij niet helemaal duidelijk. Hoe is de relatie tussen verwerkingsverantwoordelijke en subverwerker? Wordt de verwerker verwerkingsverantwoordelijke voor de subverwerker?
Yung Shin: Nee. In feite moet je het zien als 2 verhoudingen: je hebt de verhouding verwerkingsverantwoordelijke-verwerker en de verhouding verwerker-subverwerker. Het tweede lid van elke verhouding is telkens verantwoording verschuldigd aan het eerste lid.
Eddy: In feite is er geen relatie tussen de verwerkingsverantwoordelijke en de subverwerker. Zoals Yung Shin aangaf spreken we over 2 relaties die telkens steunen op contracten, nl. die tussen de verwerkingsverantwoordelijke en de verwerker enerzijds en die tussen de verwerker en subverwerker anderzijds.
Yung Shin: De verwerkingsverantwoordelijke blijft de eindverantwoordelijke voor de verwerking. De verwerker is verantwoordelijk voor de werking van de subverwerker. Deze laatste moet bij een foutieve uitvoering van de opdracht verantwoording afleggen aan de verwerker.
Eddy: Communicatie is hier ook heel belangrijk. Als de verwerker nieuwe subverwerkers aanspreekt, of oude subverwerkers vallen weg, dan moet de verwerker hier duidelijk over communiceren naar de verwerkingsverantwoordelijke toe.
Vraag: Wat is de relatie binnen de tool tussen het verwerkingsregister en de verwerkersovereenkomst? Stel: ik heb in mijn verwerkingsregister een verwerker CEVI en ik klik erop, kom ik dan uit bij de verwerkersovereenkomsten die zijn afgesloten met deze verwerker? Of als ik bijkomende subverwerkers meld in het verwerkingsregister, wordt mijn verwerkersovereenkomst dan automatisch aangepast?
Kurt: Automatisch zal het niet zijn. Je zult een nieuwe versie moeten uploaden van de verwerkersovereenkomst. Het register wil vooral een overzicht houden van alle verwerkersovereenkomsten. U heeft de verantwoordelijkheid als gebruiker om dit goed te beheren en alles goed bij te houden. Wat u kunt doen is bv. de oude versie wissen en de nieuwe versie uploaden.
Eddy: Er is weinig automatisme in te voorzien. We hebben het immers over wijzigingen van ondertekende contracten. Die moeten opnieuw ingescand en geüpload worden. We zijn wel bezig met de implementatie van een register verwerkingsactiviteiten in de tool. Dit zal gekoppeld zijn met de Oplossingencatalogus van V-ICT-OR (de vroegere Softwarecatalogus). Dit register verwerkingsactiviteiten kan een nuttige functionaliteit zijn voor de controle van verwerkersovereenkomsten: is er aan elke activiteit wel degelijk een verwerkersovereenkomst gekoppeld?
Vraag: Als je niet uit de onderhandelingen geraakt van een overeenkomst, is dit een probleem? Wie is dan verantwoordelijk? De leverancier voor het contract in kwestie heeft wel gereageerd, maar stuurde een verwerkersovereenkomst waar wij veel bedenkingen bij hebben en niet op ingegaan zijn.
Yung Shin: Ja, dit is problematisch. De verwerkingsverantwoordelijke is verantwoordelijk voor het laten opstellen van de overeenkomst. De verwerkingsvoorwaarden moet ook wel redelijk zijn. Zolang het contract niet ondertekend is, is het niet geldend voor de verwerker. Je kunt met andere woorden niet zomaar een mailtje sturen en daarin zeggen dat als de tegenpartij niet reageert of ondertekent de voorwaarden toch op hem toepasbaar worden.
Vraag: Wat met gegevensuitwisselingen tussen overheden? Bv. Rijksregister of KSZ?
Antwoord uit publiek: Hier gaat het over protocollen of beraadslagingen van het informatieveiligheidscomité. Gaat puur over doorgifte, dus er is in die gevallen geen verwerkersovereenkomst vereist.
Vraag: Mogen wij eisen dat de verwerkersovereenkomst in het Nederlands is?
Yung Shin: De normale taalregels zijn van toepassing (taalwetgeving).
Eddy: De taalwetgeving is hier van toepassing.
Vraag: Moet het verwerkingsregister in een landstaal zijn?
Yung Shin: Nee, hoeft niet. Bij opvraging van het verwerkingsregister door de Gegevensbeschermingsautoriteit moet u ingeval van een niet-landstaal wel zorgen voor een vertaling (voor België wordt dat dus Nederlands, Frans of Duits).
Vraag: Moet de verwerkingsovereenkomst in het Nederlands zijn? Kunnen we dit afdwingen?
Eddy: Je mag redeneren dat je de verwerkingsovereenkomst in duidelijke, begrijpbare taal moet beschreven zijn. Je zou onder de taalwetgeving kunnen afdwingen dat je de overeenkomst ontvangt in een van de landstalen. Als Vlaams bestuur kunt u dus een Nederlandstalige verwerkersovereenkomst afdwingen.
Vraag: We hebben een pak verwerkersovereenkomsten die we niet willen ondertekenen tot er duidelijkheid heerst over de praktijk van de verwerkersovereenkomsten. Moet ik er wakker van liggen dat die stapel blijft liggen?
Eddy: Een verwerkersovereenkomst is eigenlijk een contract. Hoe gaan we samen afspraken maken rond de verwerking van persoonsgegevens? Ik durf niet met zekerheid zeggen dat alle softwarepakketten vandaag de dag een onderhoudscontract hebben. Nochtans is dit een zeer belangrijk aspect en iets van de eerste dingen die leveranciers zouden moeten doorsturen, laten ondertekenen en goed bewaren. Zolang er niets gebeurt, zolang je geen beroep moet doen op dat contract is er niets aan de hand. Het contract vormt natuurlijk een verzekering voor wanneer het fout loopt. Idem voor de verwerkersovereenkomsten: als er iets misloopt m.b.t. de verwerking wil je een document hebben waar je op kunt terugvallen.
Yung Shin: In veel gevallen is een contract een want-to-have, iets wat wenselijk is. Zoals Eddy zegt: iets om op terug te kunnen vallen. In dit geval – de verwerkersovereenkomst – is het verplicht. Dit punt is essentieel, want het betekent dat je in elk geval zo’n overeenkomst moet kunnen voorleggen. Ik raad aan om niet te lang te wachten met het behandelen van die stapel verwerkersovereenkomsten, het zal wellicht alleen maar groeien…
Vraag: Waarom is er niet geopteerd om het model verwerkersovereenkomst van de VVSG als basis te gebruiken? De VVSG zei “zet verwerkingsovereenkomsten nog even on hold, we willen een model voor alle lokale besturen naar buiten brengen”. Waarom is dat dan niet als eerste model gebruikt?
Eddy: We zullen zien wat er voortvloeit uit de werking van de VVSG. De finale verwerkersovereenkomst die daaruit voortkomt kunnen we dan alsnog in de tool opnemen. Onze medewerker Kurt Penninck die hier vandaag ook aanwezig is zit trouwens in de werkgroep VVSG. De tool kan 2, 3 of meer sjablonen verwerkersovereenkomst bevatten, waarom niet? Laat alle bloemen maar bloeien. Misschien hebben de sjablonen dan wel een verschillende insteek. Dan is het aan het lokaal bestuur om uit te maken welke overeenkomst het meest aansluit bij hun werking en visie. Een ‘perfect generieke’ verwerkersovereenkomst bestaat niet, alleen een praktisch voorbeeld om als vertrekpunt te nemen. Hier kunnen meerdere voorbeelden voor ingezet worden.
Kurt: Ik zit inderdaad in de werkgroep en ben als dusdanig op de hoogte van de nieuwste ontwikkelingen binnen de VVSG. We kregen echter vanuit verschillende richtingen (opleiding, Yammer, mails) te horen dat er nood is aan meer duidelijkheid rond verwerkersovereenkomsten en dus wilden we bij V-ICT-OR niet bij de pakken blijven zitten. Het lokaal bestuur moet met zijn inzicht beslissen welk sjabloon verwerkersovereenkomst het best kan ingezet worden.
Eddy: Voor onze generieke verwerkersovereenkomst kunnen we zeggen dat het niet uit de invalshoek van IT-dienstverleners is geschreven. Deze is vertrokken vanuit de pragmatiek en een juridisch kader (controle door time.lex). Laat er verschillende sjablonen bestaan. Voor mij is generiek bij nader inzien toch niet zo generiek. Het is niet de bedoeling om op een model verwerkingsovereenkomst ons label te plakken (net zomin als dat voor de VVSG het doel is). Het einddoel moet zijn om de mensen in te lichten hoe een verwerkingsovereenkomst er moet uitzien. Niet welke overeenkomst de grootste is, de meest correcte. Meerdere verwerkersovereenkomsten kan alleen maar iets positiefs zijn voor lokale besturen, iets verrijkends.
Vraag: Wat als een grote speler zoals CEVI of Remmicom mij als klein lokaal bestuur praktisch dwingt om een verwerkersovereenkomst te tekenen en weinig rekening houdt met mijn eisen?
Eddy: Dan ligt zijn dossier terug op de markt. Zelfs als de tegenspeler een belangrijke onderhandelingspositie heeft, dan nog moet het het lokaal bestuur zijn dat bepaalt hoe een contract eruitziet, welke beveiligingsmaatregelen er worden getroffen. Een lokaal bestuur mag geen speelbal worden in de handen van een machtige leverancier. Ik hoop dat de lokale besturen hier karakter tonen en op hun strepen staan. Wees niet bang om aan te dringen bij de leverancier en durf, als het dossier te lang blijft aanslepen en de leverancier weigert met je aanpassingen akkoord te gaan, conclusies trekken rond een eventuele samenwerking.
Vraag: Ik denk toch wel dat we moeten wachten op de feedback van de VVSG. Zij zijn tenslotte al lang bezig met het opstellen van het model verwerkersovereenkomst. Wat is jullie visie hierop?
Eddy: Iedereen moet doen waar hij zelf achter staat. Wij bieden alvast een mogelijk ankerpunt aan voor mensen die willen starten met de verwerkersovereenkomsten.
Hendrik: Via de Oplossingencatalogus is het mogelijk leveranciers een waardering te geven. Zo wordt het duidelijk met welke leveranciers er goede afspraken kunnen gemaakt worden.
Eddy: Daar is inderdaad een scoremogelijkheid. Bedoeling is dat lokale besturen op die manier samenwerken en meningen delen rond leveranciers. Natuurlijk is het dan in het belang van de leverancier dat deze zorgt voor goede afspraken, goede waarderingen, enz.
Vraag: We zien dat leveranciers eerst kleine gemeentes onder druk zetten om hun verwerkersovereenkomsten te ondertekenen en dan vervolgens naar grotere lokale besturen stappen met de lijst van gemeentes die reeds zijn aangesloten. Kleine besturen worden onder druk gezet met uitspraken als “als je niet tegen de 25ste tekent, dan werken we niet meer samen”.
Eddy: Daarom dan ook dat we infodagen als vandaag neerzetten: om collectief druk uit te oefenen op de leveranciers en als gemeentes – klein of groot – samen te werken aan betere voorwaarden. Zo kunnen we assertiviteit kweken, voorbeelden delen met elkaar en uiteraard collectief het gesprek aangaan met de leveranciers.
Vraag: Praktische vraag i.v.m. de tool: we willen een zekere assurance bieden m.b.t. bepaalde normen zoals ISO-norm 27k, ISO-norm 32… Kan dit binnen de tool als addendum aan een verwerkersovereenkomst worden gehecht?
Kurt: Je kunt bij het inscannen van de ondertekende verwerkersovereenkomst het addendum er gewoon achter steken. Zo heb je in één file alle documentatie, verwerkersovereenkomst en bijlagen. We kunnen natuurlijk ook kijken om in de tool de mogelijkheid te verwerken om bijlagen te voorzien voor de verwerkersovereenkomst, indien daar een algemene nood voor is. Je kunt de tool zien als een content management system voor de verwerkersovereenkomsten. De tool kan nog alle kanten uit in de toekomst.
Tot slot
Half september verschijnt er een boekje ‘Gegevensbescherming voor leidinggevenden’, waarin V-ICT-OR zijn visie omtrent informatieveiligheid en GDPR toelicht. Het moet een leidraad worden voor bestuurders om rond informatieveiligheid en persoonsgegevensbescherming aan de slag te gaan.
De generieke verwerkersovereenkomst van V-ICT-OR zal door juristen onder handen worden genomen om er een juridisch correcte versie van te maken. Deze verwerkersovereenkomst zal ook in de loop van september worden verspreid.
We kijken ook uit naar de finale versie van de verwerkersovereenkomst van de VVSG. We staan open voor gesprekken en streven continu naar een vruchtbare samenwerking.