Wanneer de gemeente externe partijen inschakelt die daarbij persoonsgegevens ontvangen, moet er een verwerkersovereenkomst worden afgesloten. Een verwerkersovereenkomst is een contract tussen de verwerkingsverantwoordelijke – in dit geval de gemeente, die bepaalt waarom en hoe persoonsgegevens worden verwerkt – en de verwerker, de partij die de gegevens in opdracht van de gemeente verwerkt, zoals een IT-dienstverlener of een salarisadministratiekantoor.

Het is belangrijk om niet zomaar ‘voor de zekerheid’ een verwerkersovereenkomst af te sluiten. Een verwerkersovereenkomst is alleen bedoeld voor wanneer een externe partij daadwerkelijk optreedt als verwerker, dus wanneer deze partij persoonsgegevens verwerkt uitsluitend in opdracht van en onder verantwoordelijkheid van de gemeente.

Wanneer een partij echter zelf bepaalt waarvoor en op welke manier de verkregen persoonsgegevens worden verwerkt, is die partij zelf verwerkingsverantwoordelijke. In dat geval is een verwerkersovereenkomst niet passend en moet er een data-uitwisselingsovereenkomst worden gesloten.

Het onterecht afsluiten van een verwerkersovereenkomst kan leiden tot juridische onduidelijkheid over de verantwoordelijkheden, rechten en plichten van beide partijen. Dit vergroot het risico op onzorgvuldige gegevensverwerking en kan ertoe leiden dat de gemeente juridische verplichtingen aangaat voor verwerkingen waarover zij geen controle heeft. Een zorgvuldige beoordeling van de rolverdeling is daarom essentieel om de juiste overeenkomst te kiezen.

De VNG heeft voor beide overeenkomsten modellen beschikbaar die door de meeste gemeenten worden gebruikt. Het belangrijkste voordeel hiervan is dat gewerkt wordt met een uniform en juridisch goedgekeurd kader.

Het College van B&W is formeel de verwerkingsverantwoordelijke. Binnen de gemeente wordt de feitelijke uitvoering gedelegeerd. De opdrachtgever of proceseigenaar die een externe partij inschakelt, is verantwoordelijk voor het signaleren dat er persoonsgegevens worden gedeeld en voor het initiëren van de juiste overeenkomst (verwerkersovereenkomst of data-uitwisselingsovereenkomst). De Privacy Officer heeft een adviserende en controlerende rol: deze beoordeelt of de juiste overeenkomst wordt gebruikt en of de inhoud voldoet aan de AVG. De CISO toetst of de beveiligingsmaatregelen die in de overeenkomst worden vastgelegd (zoals versleuteling, toegangsbeheer, incidentmeldingen en beveiligingscertificeringen) voldoen aan het gemeentelijk informatiebeveiligingsbeleid en aan normen zoals de BIO (Baseline Informatiebeveiliging Overheid). De juridische afdeling kan ondersteunen bij de opstelling en toetsing van de overeenkomsten.