Het beheer- en monitoringmodel rondom de standaardverwerkersovereenkomst zijn vastgesteld. Tevens is de overeenkomst getoetst door de Landsadvocaat en besproken met de privacytoezichthouder, de Autoriteit Persoonsgegevens.
Pas-toe-of-leg-uit in 2019, verplicht vanaf 2020
Vanaf december 2018 kunnen gemeenten en leveranciers gebruik maken van de standaard verwerkersovereenkomst gemeenten. In 2019 geldt de overeenkomst volgens het principe van pas-toe-of-leg-uit bij nieuwe verwerkingen en in situaties waarin nog geen verwerkersovereenkomst is afgesloten. De verplichting per 1/1/2020 wordt medio 2019 vastgesteld door het VNG bestuur en de verplichting wordt bekrachtigd in de ledenvergadering van de VNG.
Landsadvocaat
De overeenkomst is getoetst door de landsadvocaat. Deze heeft enkele suggesties gedaan voor verduidelijking en / of verbetering. Deze suggesties worden meegenomen in de beheercyclus.
Autoriteit Persoonsgegevens
De standaard is voorgelegd aan de Autoriteit Persoonsgegevens. Hoewel de toezichthouder geen inhoudelijk oordeel velt over overeenkomsten geeft deze aan positief te staan tegen sectorale en collectieve afspraken ter bevordering van de bescherming van persoonsgegevens. De autoriteit heeft aan de VNG benadrukt dat het niet hebben van afspraken strijdig is met de wet en geeft aan dat een collectieve afspraak in dergelijke gevallen een uitkomst kan bieden. Inmiddels is bekend dat de Autoriteit is gestart met het controleren op verwerkersovereenkomsten.
Beheermodel op basis van ervaringen gemeenten en leveranciers
Het gebruik van een standaard verwerkersovereenkomst is nieuw voor gemeenten. Het concept is niet nieuw, dat wordt al toegepast in de onderwijssector. Gemeenten en leveranciers kunnen hun ervaringen delen via privacy@vng.nl– deze ervaring is waardevol bij de doorontwikkeling van de standaard. Hiervoor is een beheermodel opgezet. Dit beheermodel is als volgt:
Gemeenten en leveranciers kunnen vragen, suggesties en verbetervoorstellen voor de standaard verwerkersovereenkomst indienen bij één centraal punt: privacy@vng.nl;
Bij VNG Realisatie worden de voorstellen opgeslagen;
De voorstellen en suggesties worden voorgelegd aan de Beheergroep VWO.
De leden van de Beheergroep zijn momenteel 13 gemeentelijke vertegenwoordigers (FG’s, CISO’s en inkopers) en (maximaal) 8 leveranciers;
Het lidmaatschap van de Beheergroep zal vanaf 2020 regelmatig wijzigen om zoveel mogelijk gemeenten en leveranciers de kans te geven hier aan deel te nemen.
We streven naar een goede afspiegeling van kleine, middelgrote en grote gemeenten. In principe zullen hierbij de G5 en de grote leveranciers een vaste plaats in de Beheergroep VWO hebben;
Tijdens de bijeenkomst van de Beheergroep VWO bepalen de leden of zij akkoord gaan met de voorgestelde wijzigingen. Aangenomen wijzigingen van ingrijpende aard worden voorgelegd aan het College van Dienstverleningszaken.
De leden van de Beheergroep VWO hebben aangegeven viermaal per jaar bij elkaar te willen komen. Het eerste overleg is zodoende gepland voor eind maart 2019.
VNG monitort het gebruik onder gemeenten op de volgende wijze:
Het is de bedoeling dat alle gemeenten de standaard verwerkersovereenkomst gebruiken bij nieuwe verwerkingen (bij voorbeeld bij een nieuwe aanbesteding of een nieuw contract) en bij lopende verwerkingen waarin per heden nog geen verwerkersovereenkomst is. De adoptie van de standaard verwerkersovereenkomst dient te worden bijgehouden, dit gebeurt op de volgende manier:
Bij gemeenten:
Bezoeken en registratie door accountmanagement van VNG Realisatie;
Signalen die binnenkomen bij de IBD-helpdesk en
Periodieke uitvraag bij gemeenten
Bij leveranciers:
Registratie door leveranciers van het gebruik in de VNG Realisatie softwarecatalogus
Signalen die binnenkomen bij de IBD-helpdesk
Signalen die binnenkomen bij de GIBIT-helpdesk