Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | DPIA

Bommetje onder de AVG-relatie in opdrachten van de Overheid deel 2?

In de vorige blog (klik hier) lichtten we de publicatie en de impact van de richtlijn van de EDPB over de relatie Verwerkingsverantwoordelijke en Verwerker toe.

( Guidelines 07/2020 on the concepts of controller and processor in the GDPR)

De Gemeente is Verantwoordelijk

Volgens de recente richtlijnen van de EDPB is de Overheid binnen opdrachten aan leveranciers zelf altijd de Verwerkingsverantwoordelijke; opdrachtnemers zijn Verwerkers.

Een verwerkersovereenkomst is noodzakelijk.

Er zijn dan nu dus diverse “technische en organisatorische passende maatregelen” te nemen die door dit beeld in een duidelijke vaste vorm en relatie VV-V moeten worden genomen. In ieder geval zal een degelijke(!) verwerkersovereenkomst (in de relatie VV-V) moeten worden aangegaan. Zie het vorige blog.

In opdrachten van de Gemeente, in haar rol van Verantwoordelijke, moet zij concreet zijn in wat zij van welzijnsinstanties verwacht. Een opdracht aan organisaties als “voer de Participatiewet uit”, een wettelijk doel voor de Gemeente, is m.i. daarin te abstract, zeker ook in het licht van mogelijke gevoelige informatie over minderjarigen die, bijvoorbeeld, welzijnsorganisaties te verwerken kunnen krijgen. Probleemstelling, plaats, doelstelling en hoe die moeten worden bereikt en in welke vorm, eventueel als optie, zullen in detail moeten worden uitgesplitst. Dat is nodig om grenzen van de verwerkingen voor welzijnsorganisaties te kunnen bepalen. 

De verwerkersovereenkomst is hier dus de geëigende vorm voor het regelen van verwerkingen. Daarin zullen alle praktische situaties, (zowel voor het rapporteren aan de Gemeente als voor het doen van activiteiten en het beheren van de organisatie), waarin persoonsgegevens van cliënten (de Betrokkenen) worden gebruikt (verwerkt) in opgenomen moeten zijn met een instructie hoe daar mee om moet worden gegaan. Het Register van Verwerkingen van de organisatie is daar natuurlijk een mooi startpunt voor. De autorisaties voor toegang tot die gegevens intern moet worden geregeld evenals het vaststellen van de bewaartermijnen. 

Een convenant tussen 3de partijen.

Voor het uitwisselen van gegevens met partijen buiten de welzijnsorganisatie, (dus anders dan met de Gemeente), moeten spelregels worden gesteld die, bijvoorbeeld, in een convenant (en niet in een verwerkersovereenkomst) kunnen worden opgenomen. Uiteraard moet voor een uitwisseling van gegevens, indien niet wettelijk, ook toestemmingen van Betrokkenen worden verkregen en verwerkt.

Het gevolg voor Gemeenten...

Bij het uitvoeren van activiteiten door de welzijnsorganisatie moeten de door de Gemeente geïnstrueerde “spelregels” worden gehanteerd. Dat betekent in veel gevallen dat er toestemming van de deelnemers (Betrokkene of de ouders) moet (gaan) worden gevraagd. Juist ook indien hun casus met andere partijen zal gaan worden besproken. De verantwoordelijkheid daarvoor, zowel voor het vaststellen als voor instrueren van de welzijnsorganisatie (de “schriftelijke instructies”) ligt dus bij de Gemeente.

Klachten van en het uitoefenen van hun rechten door Betrokkenen moeten direct aan de Gemeente moeten worden doorgegeven, evenals datalekken (inbreuken).

De Gemeente is verantwoordelijk voor het bevorderen van het bewustzijn bij medewerkers van onderaannemers. Ook stelt zij beleid, (of althans grenzen daaraan), waaraan haar onderaannemers moeten voldoen.

Kortom: het delegeren van diensten mag en kan, maar het delegeren van verantwoordelijkheid niet! 

Voor de RASCI-beoefenaars: de Gemeente kan “responsibility” overdragen maar ze is en blijft zelf “accountable”. 

Mail of bel met Check-Privacy; wij lichten graag deze ontwikkeling toe en/of komen graag langs voor een vrijblijvende scan van uw situatie. 

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. 

06 54 964 164

Afdrukken