Werkt u mee aan de ontwikkeling?
De Taskforce Samen Organiseren heeft positief geadviseerd op het uitwerken van een gezamenlijke gemeentelijke verwerkersovereenkomst en een privacyconvenant tussen gemeenten en leveranciers.
De IBD krijgt veel vragen en signalen van gemeenten over de te maken afspraken met leveranciers. In de voorbereiding op de inwerkingtreding van de AVG neemt het aantal vragen sterk toe.
Onder de AVG is het verplicht om een register van verwerkingen bij te houden en in dit proces wordt voor gemeenten duidelijk in welke gevallen een verwerkersovereenkomst noodzakelijk is en ook in welke gevallen die er dus nog niet is.
Wat doen we al?
Voor gemeenten is een aantal kennisproducten ontwikkeld: een model-verwerkersovereenkomst (link is external) en een factsheet (link is external) die ondersteunen bij het maken van afspraken. Op de website van de IBD staan een groot aantal veel gestelde vragen en antwoorden. De IBD heeft in de afgelopen periode gemeenten geadviseerd bij een aantal collectieve verwerkersovereenkomsten, o.a. die met Centric en de SIMgroep. Daarbij valt op dat tussen gemeenten en leveranciers vooral discussie is over onderwerpen die niet wettelijk verplicht zijn in de overeenkomst – boetes, aansprakelijkheid en gedetailleerde beveiligingseisen. Door de discussie over deze zaken ligt er uiteindelijk vaak geen verwerkersovereenkomst.
Wat betekent dit voor de gemeente?
Iedere gemeente moet met minimaal 50 verschillende partijen afspraken maken (voor o.a. software en diensten) en deze neerleggen in een verwerkersovereenkomst. Voor zowel gemeenten als leveranciers is de onderhandeling over deze overeenkomsten tijdrovend en complex. Leveranciers geven aan dat het voor hen ondoenlijk is om met iedere gemeente individueel afspraken te maken – de modellen van de leveranciers worden als vaststaand feit gepresenteerd. Daarmee bepalen leveranciers in sommige gevallen de voorwaarden, een onwenselijke situatie. Dit leidt regelmatig tot verstoorde verhoudingen tussen gemeenten en leveranciers en leidt bij incidenten tot onnodige onduidelijkheid. Bovendien is het ontbreken van een verwerkersovereenkomst in strijd met de AVG.
Goed idee uit de onderwijssector gebruiken voor gemeenten
In de sector onderwijs is door stichting Kennisnet een privacy-convenant opgesteld met een algemeen bindende verwerkersovereenkomst die voldoet aan de wettelijke verplichting – de ervaringen van de onderwijssector en hun toeleveranciers is zeer positief. Het idee is om een dergelijk convenant ook voor gemeenten op te stellen. Dit idee is getoetst tijdens de regiobijeenkomsten van de IBD en wordt zeer positief ontvangen.
De Taskforce Samen Organiseren heeft VNG en IBD gevraagd dit idee samen met gemeenten en leveranciers met urgentie uit te werken tot een concreet aanbod. In de komende periode werkt de IBD dit idee samen met gemeenten, de VNG en leveranciers uit tot een definitief product. We houden u vanzelfsprekend op de hoogte!
Heeft u kennis en/of ervaring op dit terrein, dan werken we graag samen met u aan deze collectieve oplossing. Mail ons op info@IBDGemeenten.nl