• Home
  • blogs
  • Wie waakt er over de bewerkersovereenkomst?

Wie waakt er over de bewerkersovereenkomst?

Ik heb al eerder over de bewerkersovereenkomst geschreven. In de vorige blog ben ik ingegaan op het belang van het hebben van een bewerkersovereenkomst en wat er in moet staan. Deze blog gaat vooral over het beheer van de bewerkersovereenkomsten: je hebt als gemeente vastgesteld dat een bewerkersovereenkomst noodzakelijk is én je hebt overeenstemming bereikt over de inhoud ervan. Maar dan? Wie is verantwoordelijk voor het

beheren van deze overeenkomst en wie houdt toezicht op de naleving?

Na stap één volgt nog wel stap twee

Een bewerkersovereenkomst afsluiten is één, deze ook beheren en onderhouden is een tweede. En het is juist van belang deze bewerkersovereenkomst up-to-date te houden en toezicht op de naleving te hebben. In de bewerkersovereenkomst worden immers afspraken vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. Afspraken over hoe de bewerker de gegevens dient te beveiligen en hoe (snel) ze een datalek moet melden bij de verantwoordelijke. Maar wie waarborgt dat dit ook daadwerkelijk gebeurt? Papier is geduldig..

Een bewerkersovereenkomst afsluiten met een bewerker, die persoonsgegevens verwerkt in opdracht van de gemeente (=verantwoordelijke), is natuurlijk goed. Maar wie waakt er over de bewerkersovereenkomst?

Toezicht houden

Sinds de invoering van de meldplicht datalekken vorig jaar en met in het vooruitzicht de Algemene Verordening Gegevensbescherming (AVG), wordt het hebben van een bewerkersovereenkomst steeds belangrijker geacht. Gemeenten sluiten deze gelukkig meer en meer af. Maar in de praktijk zie je dat het hier vaak bij blijft, zaken als regie en toezicht op de overeenkomsten ontbreekt nog in veel gevallen.

Dit heeft als gevolg dat de Functionaris Gegevensbescherming (FG), die toezicht houdt op alle verwerkingen van persoonsgegevens, hierdoor een flinke klus te klaren heeft aan het inventariseren van alle bewerkersovereenkomsten binnen de gemeente. Als er al überhaupt een FG is aangesteld, dit is namelijk nog bij relatief weinig gemeenten het geval. Kan dit niet al vanaf de start veel beter georganiseerd worden, en zo ja wat moet je hier dan als organisatie voor doen? En vooral, bij wie beleg je het beheer?

Er zijn verschillende functionarissen/afdelingen bij wie in de praktijk het beheer van overeenkomsten, veelal informeel, is belegd:

  • De privacyfunctionaris en/of Functionaris Gegevensbescherming (FG).
  • De CISO/informatiebeveiligingsfunctionaris (dit zie je vooral indien de benodigde informatie voor een privacyfunctionaris niet aanwezig is).
  • De vakafdeling (ofwel het team- /afdelingshoofd) die de bovenliggende overeenkomst met een externe partij die persoonsgegevens verwerkt (de bewerker) heeft gesloten.
  • De afdeling contractbeheer (dit is alleen niet overal centraal ingericht, dus niet altijd mogelijk).

Beheren vanuit één centraal punt

Als je naar bovenstaande opties kijkt, wat is dan de meest logische plek om het beheer te beleggen? Idealiter zou je één centraal punt moeten hebben binnen de gemeente, waar alle overeenkomsten (en dus ook bijhorende bewerkersovereenkomsten) beheerd worden. Echter, als je het bekijkt vanuit privacy compliance oogpunt, is het verstandig dit juist te beleggen bij de FG, die beheert immers ook het register van alle verwerkingen van persoonsgegevens.

Maar nog lang niet alle gemeenten hebben een FG in dienst. In dat geval zie je dat de CISO deze rol vervult. Dit kan als tijdelijke oplossing, maar wacht als gemeente niet te lang met het aanstellen van een FG . Naast dat het vanaf mei 2018 verplicht is, kun je er als gemeente nu al een hoop profijt van hebben, denk aan de huidige problematiek in het kader van de privacywetgeving. De FG vormt dé verbindende schakel tussen gemeenten en de Autoriteit Persoonsgegevens (AP). Dus wacht niet tot het te laat is.

Verschillende invalshoeken

Tenslotte zijn er ook een hoop gemeenten die helemaal geen centrale afdeling (of functionaris) contractbeheer hebben. Daar zie je dat deze taak veelal decentraal is belegd, namelijk bij de vakafdelingen. In sommige gevallen gaat dat goed, maar er zijn ook veel gemeenten waarbij dat niet het geval is. Kort samengevat, kun je het dus vanuit twee invalshoeken bekijken:

  1. Vanuit integraal contractbeheer: hierbij beleg je het beheer van de bewerkersovereenkomst bij een centrale afdeling/functionaris contractbeheer. Is deze afdeling of functie niet ingevuld? Dan ligt het beheer bij de decentrale vakafdelingen.
  2. Vanuit privacy en compliance: Hierbij beleg je het beheer van de bewerkersovereenkomst bij de FG, is deze nog niet aangesteld? Dan beleg je het beheer bij de CISO. Beschikt jouw gemeente ook niet over een CISO? Dan is er sowieso nog veel werk te doen.

Uitgaande van bovenstaande twee invalshoeken opteer ik voor het volgende: Heb je een centrale afdeling contractbeheer, beleg het beheer van bewerkersovereenkomsten dan ook hier (in nauwe afstemming met de FG). Indien deze er niet is, beleg het beheer dan bij de FG. Heeft je gemeente nog geen FG, beleg het dan bij de CISO. De laatste, of, minst wenselijke, optie is beleggen bij de vakafdelingen.

Hoe en waar is het beheer van de bewerkersovereenkomsten bij jouw gemeente belegd?

De CISO, Privacy Officer en FG; wie doet en mag wat?
Centric, PinkRoccade en de bewerkersovereenkomst

Copyright © 2014-2019 IB&P B.V. - Privacy Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap