De Bewerkersovereenkomst; handig hulpmiddel bij beheren van persoonsgegevens, zeker in het licht van de drie Decentralisaties

Met de komst van de drie decentralisaties gaat er veel binnen uw gemeente veranderen, ook met betrekking tot de gegevensuitwisseling in het sociaal domein (Wet maatschappelijke ondersteuning (WMO) en Jeugd). Om dit te ondersteunen is het Gemeentelijke Gegevensknooppunt (GGk) ontwikkeld en ingericht. Bij deze gegevensuitwisseling worden ook (bijzondere) persoonsgegevens uitgewisseld, waar u als gemeente wettelijk verantwoordelijk voor blijft in het kader van de Wet Bescherming Persoonsgegevens (WBP). Het Inlichtingenbureau (IB) en VECOZO worden ‘bewerker’ van deze gegevens. Vragen die beantwoord moeten worden, zijn: met wie moet je als gemeente in het kader van de 3D’s een Bewerkersovereenkomst afsluiten? En welke van de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) moeten hier minimaal in staan?
Met betrekking tot het GGk dienen er twee Bewerkersovereenkomsten te komen, één overeenkomst tussen de gemeenten en het IB en één overeenkomst tussen gemeenten en VECOZO. VECOZO is de partij die met veel zorgverzekeraars en -aanbieders al een Bewerkersovereenkomst heeft, hierin zijn afspraken gemaakt in de keten over maatregelen en compliance. Maar men wil uiteraard niet 393 verschillende Bewerkersovereenkomsten (maal twee). Dus bij het aansluiten op het GGk van het IB is er door de IBD, in nauwe samenwerking met het IB en VECOZO, een centraal gemaakte Bewerkersovereenkomst opgesteld op basis van de risicoanalyse die de IBD heeft uitgevoerd voor dit GGk. De VECOZO Bewerkersovereenkomst en de IB Bewerkersovereenkomst hebben dezelfde lijst met maatregelen als bijlage.

Aanmelden

Om vanaf 1 januari 2015 geautomatiseerd berichten uit te kunnen wisselen met zorgaanbieders op het informatiesysteem van het IB dient een gemeente zich eerst aan te melden bij het IB. Daarnaast dient een gemeente ook een gebruikersbeheerder aan te melden. Deze aanmeldformulieren vind u op de website van het IB. Vervolgens kan elke gemeente die de aanmeldformulieren gemeente en gebruikersbeheerder heeft ingevuld bij het IB de gebruiksvoorwaarden opvragen die verwijst naar de twee Bewerkersovereenkomsten aangaande het GGk, met als doel dat uw gemeente deze gebruiksvoorwaarden tekent. Het IB en VECOZO zullen jaarlijks na hun audit een TPM overleggen. In de tussentijd worden de maatregelen uitgevoerd. Kortom u hoeft als gemeente op dit vlak niet zelf een Bewerkersovereenkomst op te stellen.

De CORV

Tevens is er een digitaal knooppunt dat zorgt voor de elektronische afhandeling van het formele berichtenverkeer tussen justitiepartijen en het gemeentelijke domein: De Collectieve Opdracht Routeer Voorziening (CORV). De CORV zorgt ervoor dat deze berichtenuitwisseling uniform, veilig en snel plaatsvindt. Zo gaat de onderlinge samenwerking beter. Gemeenten hebben tot 1 januari 2015 de tijd om aan te aansluiten op de CORV, dan wel deze taak uit te besteden aan een daarvoor bevoegde partij.

Aansluiten op de CORV

Voor het aansluiten op de CORV dienen gemeenten aan de aansluitvoorwaarden CORV te voldoen. Daarin zijn eisen opgenomen ten aanzien van de informatiebeveiliging. Voor het aansluiten op de CORV is de BIG als normenkader gehanteerd. Dit is goed nieuws, gezien het feit dat ook de BIG een stappenplan kent over hoe omgegaan moet worden met nieuwe processen en informatiesystemen. Dat heeft geleid tot aansluitvoorwaarden voor de CORV. In deze aansluitvoorwaarden CORV is vereist dat het college van burgemeester en wethouders (college van B&W) een stappenplan volgt om beveiligingsmaatregelen te implementeren, bestaande uit de volgende stappen:

1. Een baselinetoets BIG uit de operationele variant van de BIG.
2. Een GAP-analyse BIG uit de operationele variant van de BIG.
3. Het opstellen en uitvoeren van een informatiebeveiligingsplan op basis van de resultaten van de GAP-analyse BIG.

Onafhankelijk van de maatregeldoelstellingen die uit de diepgaande risicoanalyse komen, moet het koppelvlak CORV voldoen aan een minimale set beveiligingseisen die door het ministerie van Veiligheid en Justitie (VenJ) zijn vastgesteld.

Templates

De uitvoering van deze stappen dient controleerbaar te zijn gedocumenteerd en de documentatie dient op verzoek beschikbaar gesteld te worden aan de minister van Veiligheid en Justitie. Op basis van uitgevoerde baselinetoetsen BIG en diepgaande risicoanalyses heeft de IBD verschillende templates opgesteld om gemeenten hiermee te ondersteunen. Deze templates zijn: een vooringevulde baselinetoets BIG en een template vooringevulde diepgaande risicoanalyse.
Door middel van de genoemde GAP-analyse BIG blijkt welke maatregelen voor het koppelvlak CORV nog niet in orde zijn ten opzichte van de BIG. Om niet de hele BIG te hoeven verantwoorden is er een lijst opgesteld met maatregelen die minimaal vereist zijn op het koppelvlak met CORV. Deze templates vind u hier.

Meer informatie?

Wilt u meer informatie of heeft u nog vragen naar aanleiding van dit bericht? Dan verwijzen wij u door naar de website van VISD. Heeft u nog andere vragen op het vlak van informatiebeveiliging? Stel deze dan via info@IBDgemeenten.nl.