Add to collection(s) Add to saved
  1. Sociale wetenschap

Nieuwsbrief december 2016

advertisement 
Nieuwsbrief12ContractmanagementPurmerend/Beemster
Hierbij ontvangt u de twaalfde nieuwsbrief namens het Contractmanagement team Purmerend /
Beemster. Deze nieuwsbrief staat geheel in het teken van de “Bewerkersovereenkomst versus
Privacyconvenant”.
Inleiding
In september heeft de gemeente Purmerend in nieuwsbrief 11 Contractmanagement
Purmerend/Beemster aandacht besteed aan het fenomeen “Bewerkersovereenkomst”. Hierbij is
aangegeven dat er geen bewerkersovereenkomsten met de gecontracteerde aanbieders van
Wmo-maatwerkvoorzieningen gesloten zullen worden. In plaats daarvan hecht Purmerend er
belang aan met de aanbieders privacyconvenanten af te sluiten. Een concept hiervan is de
deelnemers aan de adviestafel in augustus uitgereikt. Dit concept is besproken tijdens de
adviestafel van 1 september.
Donderdag 17 november 2016 is door mevrouw Duthler, oprichter van adviesbureau Duthler
Associates, in het directeurenoverleg gesteld dat bewerkersovereenkomsten wettelijk verplicht
zijn. Daarnaast heeft één van de deelnemers aan de adviestafel het bestaan/afsluiten van een
bewerkers-overeenkomst als voorwaarde gesteld om samen te werken.
Wij hebben gemerkt dat door deze twee ontwikkelingen bij velen van u onrust is ontstaan.
We willen daarom nogmaals aandacht besteden aan dit onderwerp en u hopelijk duidelijk
maken dat de uitwisseling van persoonsgegevens tussen Wmo aanbieders (onderling, dan wel)
met het college van B&W of bijv. de SVB geen verantwoordelijke-bewerker uitwisseling betreft,
maar een uitwisseling van persoonsgegevens tussen zelfstandig verantwoordelijken. In verband
hiermee is het afsluiten van een bewerkersovereenkomst niet nodig, sterker nog: onrechtmatig.
Voor verdere informatie kunt u contact opnemen met onze privacy jurist: mevrouw C. de Haan.
Zij is telefonisch bereikbaar telefoonnummer (0299) 452 452 of via emailadres
[email protected].
BewerkersovereenkomstversusPrivacyconvenant
Iedereen die in Nederland persoonsgegevens verwerkt is verplicht zich te houden aan de eisen
die de Wet bescherming persoonsgegevens (Wbp) aan verwerkingen stelt.
Iedereen die in Nederland persoonsgegevens verwerkt in het kader van de Wmo 2015, is in
aanvulling op de Wbp verplicht de privacyregels uit de Wmo na te leven.
Persoonsgegevens worden lang niet altijd alleen binnen één organisatie verwerkt. Soms wordt
de verwerking van persoonsgegevens uitbesteed aan een derde en soms worden
persoonsgegevens met een andere instantie uitgewisseld.
Hoe moet in dergelijke situaties gehandeld worden?
Uitbestedingvanverwerkingvanpersoonsgegevens: verwerken (bewerkersovereenkomst)
Een Wmo aanbieder verwerkt héél veel persoonsgegevens; persoonsgegevens van de
medewerkers van de aanbieder zelf, maar vooral persoonsgegevens van de cliënten van de
december 2016
aanbieder. Het verwerken van persoonsgegevens is voor een aanbieder geen core-business. Een
goede, actuele set persoonsgegevens van cliënten is echter wél een noodzaak om Wmo-hulp te
kunnen verlenen. Het kán daarom handig zijn iemand in te huren die voor de Wmo aanbieder de
persoonsgegevens van de cliënten goed en up to date houdt. Een externe die als dienstverlening
voor een ander persoonsgegevens verwerkt, noemt de Wbp: bewerker.
De Wbp legt de plicht op met een bewerker een bewerkersovereenkomst aan te gaan.
In deze overeenkomst wordt vastgelegd hóe de bewerker met de persoonsgegevens van de Wmo
aanbieder om moet gaan. Er wordt bijvoorbeeld geregeld:
• hoe de bewerker de persoonsgegevens moet beveiligen,
• dat de Wmo aanbieder het recht heeft te controleren of de bewerker zich aan de regels
houdt,
• wat een bewerker moet doen als de server waarop de persoonsgegevens van de Wmoaanbieder staan gehackt wordt, en
• dat de bewerker een geheimhoudingsplicht heeft t.a.v. de persoonsgegevens van de Wmo
aanbieder.
Uitwisselingvanpersoonsgegevensmeteenander:verwerken(privacyconvenant)
Een Wmo aanbieder wisselt met andere instanties persoonsgegevens uit; bijvoorbeeld:
• het college van B&W heeft van de Wmo aanbieder persoonsgegevens van de cliënt nodig
t.b.v. de periodieke heroverweging van de Wmo-beschikking,
• de Sociale Verzekeringsbank heeft van de aanbieder persoonsgegevens nodig voor het
betalen van een pgb aan een cliënt,
• de toezichthoudende ambtenaar heeft persoonsgegevens van cliënten nodig om zijn taak
als toezichthouder goed uit te kunnen oefenen.
Een Wmo aanbieder is in bovenstaande voorbeelden wettelijk verplicht die persoonsgegevens
aan de genoemde instanties te verstrekken als die erom vragen met het doel hun eigentaken op
grond van de Wmo 2015 uit te voeren. Dit is geen verwerking van persoonsgegevens als
dienstverlening door een bewerker voor een verantwoordelijke.
Het college van B&W wisselt met een Wmo aanbieder de persoonsgegevens uit die de aanbieder
nodig heeft voor het aan een cliënt leveren van een maatwerkvoorziening. Op grond van de
Wmo 2015 is dit een (vrijwillige) verstrekking van het college aan de aanbieder met als doel het
de aanbieder mogelijk te maken zijneigen taken op grond van de Wmo 2015 uit te voeren. Ook
dit is geen verwerking van persoonsgegevens als dienstverlening door een bewerker voor een
verantwoordelijke.
De Wbp regelt niet hoe de verwerking c.q. uitwisseling van persoonsgegevens die niet is te
kwalificeren als dienstverlening door een bewerker moet worden vorm gegeven. Ook de Wmo
2015 zegt hier niets over.
Het college van B&W vindt de uitwisseling van persoonsgegevens in het kader van de Wmo 2015
echter zó belangrijk dat ze hier zélf met een gecontracteerde Wmo aanbieder afspraken over wil
maken. Deze afspraken worden neergelegd in een privacyconvenant.
Zoals de deelnemers aan de adviestafel in het eerder toegestuurde concept-privacyconvenant
hebben kunnen zien, wordt in dit stuk bijvoorbeeld geregeld:
• welke persoonsgegevens er daadwerkelijk tussen het college en een Wmo aanbieder
uitgewisseld kunnen worden,
• voor welke doelen persoonsgegevens worden uitgewisseld,
• via welke kanalen persoonsgegevens van cliënten worden uitgewisseld.
december 2016
Samenvattingenconclusie
• Persoonsgegevens kunnen uitgewisseld worden met:
- een bewerker
- een andere instantie die voor eigen doelen en taken - opgenomen in de Wmo 2015 persoonsgegevens verwerkt.
• Een externe die als dienstverlening, zonder eigen zelfstandig doel, persoonsgegevens van
bijvoorbeeld een Wmo aanbieder verwerkt, is een bewerker.
• De Wbp verplicht de uitwisseling van persoonsgegevens met een bewerker te regelen in
een bewerkersovereenkomst.
• Een instantie die persoonsgegevens van een Wmo aanbieder krijgt om zijn eigen Wmo
taken uit te kunnen voeren is geen bewerker van de Wmo aanbieder. Evenmin is de
Wmo aanbieder bewerker van de persoonsgegevens die hij van deze instantie ontvangt.
Met die instantie kan een Wmo aanbieder daarom géén bewerkers-overeenkomst
aangaan.
• Als beide partijen dat willen, kán de uitwisseling van persoonsgegevens tussen een Wmo
aanbieder en een instantie als het college van B&W of de SVB nader geregeld worden. Áls
dat gebeurt, kan dat in een document dat privacyconvenant wordt genoemd.
Totslot
Uit het voorgaande blijkt dat het onwenselijk, onnodig en zelfs in strijd met de wet is als de
gemeente met een Wmo aanbieder een bewerkersovereenkomst aangaat, terwijl de Wmo
aanbieder geen bewerker is.
Heeft u (nog) vragen voor Contractmanagement? Dan kunt u ons altijd benaderen via
[email protected].
december 2016
Related documents
Information Ethics
Information Ethics
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Modelbrief uitoefening recht van verzet
Modelbrief uitoefening recht van verzet
Privacy- en cookiebeleid Witte
Privacy- en cookiebeleid Witte
European Commission
European Commission
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Toelichting bij schema inventarisatie verwerking
Toelichting bij schema inventarisatie verwerking
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
Inschrijfformulier GC Rotterdam Noord Erasmusstraat 164, 3035 LJ
Inschrijfformulier GC Rotterdam Noord Erasmusstraat 164, 3035 LJ
Privacy statement
Privacy statement
Download
advertisement