Skip to main content

Wie waakt er over de bewerkersovereenkomst?

| IB&P | ,

Ik heb al eerder over de bewerkersovereenkomst geschreven. In de vorige blog ben ik ingegaan op het belang van het hebben van een bewerkersovereenkomst en wat er in moet staan. Deze blog gaat vooral over het beheer van de bewerkersovereenkomsten: je hebt als gemeente vastgesteld dat een bewerkersovereenkomst noodzakelijk is én je hebt overeenstemming bereikt over de inhoud ervan. Maar dan? Wie is verantwoordelijk voor het

beheren van deze overeenkomst en wie houdt toezicht op de naleving?

Na stap één volgt nog wel stap twee

Een bewerkersovereenkomst afsluiten is één, deze ook beheren en onderhouden is een tweede. En het is juist van belang deze bewerkersovereenkomst up-to-date te houden en toezicht op de naleving te hebben. In de bewerkersovereenkomst worden immers afspraken vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. Afspraken over hoe de bewerker de gegevens dient te beveiligen en hoe (snel) ze een datalek moet melden bij de verantwoordelijke. Maar wie waarborgt dat dit ook daadwerkelijk gebeurt? Papier is geduldig..

Een bewerkersovereenkomst afsluiten met een bewerker, die persoonsgegevens verwerkt in opdracht van de gemeente (=verantwoordelijke), is natuurlijk goed. Maar wie waakt er over de bewerkersovereenkomst?

Toezicht houden

Sinds de invoering van de meldplicht datalekken vorig jaar en met in het vooruitzicht de Algemene Verordening Gegevensbescherming (AVG), wordt het hebben van een bewerkersovereenkomst steeds belangrijker geacht. Gemeenten sluiten deze gelukkig meer en meer af. Maar in de praktijk zie je dat het hier vaak bij blijft, zaken als regie en toezicht op de overeenkomsten ontbreekt nog in veel gevallen.

Dit heeft als gevolg dat de Functionaris Gegevensbescherming (FG), die toezicht houdt op alle verwerkingen van persoonsgegevens, hierdoor een flinke klus te klaren heeft aan het inventariseren van alle bewerkersovereenkomsten binnen de gemeente. Als er al überhaupt een FG is aangesteld, dit is namelijk nog bij relatief weinig gemeenten het geval. Kan dit niet al vanaf de start veel beter georganiseerd worden, en zo ja wat moet je hier dan als organisatie voor doen? En vooral, bij wie beleg je het beheer?

Er zijn verschillende functionarissen/afdelingen bij wie in de praktijk het beheer van overeenkomsten, veelal informeel, is belegd:

  • De privacyfunctionaris en/of Functionaris Gegevensbescherming (FG).
  • De CISO/informatiebeveiligingsfunctionaris (dit zie je vooral indien de benodigde informatie voor een privacyfunctionaris niet aanwezig is).
  • De vakafdeling (ofwel het team- /afdelingshoofd) die de bovenliggende overeenkomst met een externe partij die persoonsgegevens verwerkt (de bewerker) heeft gesloten.
  • De afdeling contractbeheer (dit is alleen niet overal centraal ingericht, dus niet altijd mogelijk).

Beheren vanuit één centraal punt

Als je naar bovenstaande opties kijkt, wat is dan de meest logische plek om het beheer te beleggen? Idealiter zou je één centraal punt moeten hebben binnen de gemeente, waar alle overeenkomsten (en dus ook bijhorende bewerkersovereenkomsten) beheerd worden. Echter, als je het bekijkt vanuit privacy compliance oogpunt, is het verstandig dit juist te beleggen bij de FG, die beheert immers ook het register van alle verwerkingen van persoonsgegevens.

Maar nog lang niet alle gemeenten hebben een FG in dienst. In dat geval zie je dat de CISO deze rol vervult. Dit kan als tijdelijke oplossing, maar wacht als gemeente niet te lang met het aanstellen van een FG . Naast dat het vanaf mei 2018 verplicht is, kun je er als gemeente nu al een hoop profijt van hebben, denk aan de huidige problematiek in het kader van de privacywetgeving. De FG vormt dé verbindende schakel tussen gemeenten en de Autoriteit Persoonsgegevens (AP). Dus wacht niet tot het te laat is.

Verschillende invalshoeken

Tenslotte zijn er ook een hoop gemeenten die helemaal geen centrale afdeling (of functionaris) contractbeheer hebben. Daar zie je dat deze taak veelal decentraal is belegd, namelijk bij de vakafdelingen. In sommige gevallen gaat dat goed, maar er zijn ook veel gemeenten waarbij dat niet het geval is. Kort samengevat, kun je het dus vanuit twee invalshoeken bekijken:

  1. Vanuit integraal contractbeheer: hierbij beleg je het beheer van de bewerkersovereenkomst bij een centrale afdeling/functionaris contractbeheer. Is deze afdeling of functie niet ingevuld? Dan ligt het beheer bij de decentrale vakafdelingen.
  2. Vanuit privacy en compliance: Hierbij beleg je het beheer van de bewerkersovereenkomst bij de FG, is deze nog niet aangesteld? Dan beleg je het beheer bij de CISO. Beschikt jouw gemeente ook niet over een CISO? Dan is er sowieso nog veel werk te doen.

Uitgaande van bovenstaande twee invalshoeken opteer ik voor het volgende: Heb je een centrale afdeling contractbeheer, beleg het beheer van bewerkersovereenkomsten dan ook hier (in nauwe afstemming met de FG). Indien deze er niet is, beleg het beheer dan bij de FG. Heeft je gemeente nog geen FG, beleg het dan bij de CISO. De laatste, of, minst wenselijke, optie is beleggen bij de vakafdelingen.

Hoe en waar is het beheer van de bewerkersovereenkomsten bij jouw gemeente belegd?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…