FAQ

De IBD informeert u graag over de ontwikkelingen op het gebied van informatiebeveiliging in de gemeentelijke markt. Hieronder kunt u, per categorie, belangrijke documenten over dit onderwerp downloaden.
Zoek op dienst, product, aansluiting, project of locatie
Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerker?

Wanneer een partij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat u aan diens rechtstreekse gezag onderworpen bent, dan is deze partij een verwerker. De verwerking van de persoonsgegevens is de primaire opdracht. Hiermee wordt bedoeld dat de dienstverlening gericht moet zijn op het verwerken van persoonsgegevens voor de verwerkingsverantwoordelijke. Wanneer de verwerking van persoonsgegevens niet de primaire opdracht is, maar een afgeleiden van een andere vorm van dienstverlening, dan is de partij zelf de verwerkersverantwoordelijke voor de verwerking. Voorbeelden van verschillende soorten verwerkers kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Mag mijn verwerker zomaar andere partijen inschakelen bij het uitvoeren van mijn verwerkingen?

De verwerker mag niet zomaar een andere partij inschakelen bij het uitvoeren van de verwerkingen van de verwerkersverantwoordelijke. Dit mag alleen wanneer de verwerkersverantwoordelijke hier nadrukkelijk toestemming voor heeft gegeven. Meer informatie over afspraken tussen verwerkers en verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Wat moet er in een verwerkersovereenkomst staan?

In een verwerkersovereenkomst moeten minimaal de volgende zaken geregeld zijn: het onderwerp en de duur van de verwerking; de aard en het doel van de verwerking; het soort persoonsgegevens en de categorieën van betrokkenen; de rechten en verplichtingen van de verwerkingsverantwoordelijke. Verder komen in verschillende verwerkersovereenkomsten globaal dezelfde basisonderwerpen voor. Meer informatie kunt u vinden in de ‘factsheet verwerkersovereenkomsten’. Daarnaast heeft de IBD een model verwerkersovereenkomst opgesteld, dat u kunt gebruiken als basis voor de onderhandelingen met uw leveranciers.

 

Mijn leverancier is geen verwerker. Moet ik alsnog een overeenkomst afsluiten?

In deze situatie hoeft u geen overeenkomst af te sluiten. Wat u nog kunt doen is met de leverancier duidelijke afspraken maken dat ze de door u geleverde gegevens alleen mogen gebruiken voor de vastgestelde doeleinden en dat ze geheimhouding moeten betrachten. Door dat te doen, weet u zeker dat uw gegevens alleen gebruikt worden voor het doel waarvoor u ze verstrekt heeft. Meer informatie over in welke situatie een verwerkersovereenkomst nodig is kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Kan er tussen twee verwerkersverantwoordelijken ook een verwerkersovereenkomst afgesloten worden?

In het geval van een gezamenlijke verantwoordelijkheid is het soms onduidelijk wie wanneer precies waarvoor verantwoordelijk is. Daarom kan het raadzaam zijn om daar iets over op te schrijven. Over het algemeen kan dat gewoon in de inkoop- of leveringsovereenkomst voor de leverancier, maar het kan feitelijk op iedere mogelijke manier opgeschreven worden. Meer informatie hierover kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Is er een verwerkersovereenkomst nodig voor accountants die voor de vervulling van de controlerende taken persoonsgegevens moeten inzien?

Er moet eerst moet worden vastgesteld of de accountant een verwerker of een verwerkersverantwoordelijke is. De regel is dat de verwerkingsverantwoordelijke het doel en de middelen voor de verwerking vaststelt. In het geval van een accountscontrole bepaalt de accountant het doel en de middelen en daarmee wordt zij automatisch verwerkingsverantwoordelijke. Een verwerkersovereenkomst is in dit geval niet nodig. Er is dus geen verwerkersovereenkomst nodig. Wel wordt aanbevolen om op een andere wijze afspraken te maken over de zorgvuldige omgang met persoonsgegevens.

Is er voor de gegevensuitwisseling met een zorgaanbieder een verwerkersovereenkomst nodig?

De zorgleverancier stelt zelf het doel en de middelen vast voor de zorg die zij gaan leveren. Daarmee is de zorgaanbieder/leverancier dus een verwerkersverantwoordelijke. Er is in dit geval geen verwerkersovereenkomst nodig. Wel wordt aanbevolen om op een andere wijze afspraken te maken over de zorgvuldige omgang met persoonsgegevens. Meer informatie hierover kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Hoe veilig zijn gegevens bij de IBD?

De informatie die tussen gemeenten en de IBD wordt gedeeld wordt verwerkt met het doel om gericht kwetsbaarheidswaarschuwingen te kunnen sturen naar gemeenten. De gegevens van gemeenten worden door de IBD als sectorale CERT namens alle Nederlandse gemeenten gematcht met waarschuwingen van het Nationaal Cyber Securitycentrum (NCSC) en andere bronnen, bijvoorbeeld waarschuwingen van leveranciers of responsible disclosure meldingen.

Beveiligde opslag

Uw gegevens zijn opgeslagen in de beveiligde omgeving van de IBD. Een set aan technische, fysieke en organisatorische maatregelen voorkomt dat onbevoegden bij deze informatie kunnen komen. Hierbij voldoet de IBD aan de terzake relevante normen uit de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG) alsook aan internationale regelgeving die van toepassing is op een geaccrediteerde CERT/CSIRT.

Beveiligd transport

De IBD maakt gebruik van STARTTLS (in combinatie met DKIM, SPF & DMARC), e-mailcommunicatie met de IBD is tijdens transport versleuteld mits de gemeente ook STARTTLS gebruikt. Indien gewenst kan de e-mail ook door middel van PGP worden versleuteld. Bijlagen kunnen in een zip-bestand versleuteld worden door middel van een wachtwoord dat u telefonisch doorgeeft aan de IBD-helpdesk (zie ook het Informatieblad Versleutelen informatie in de communicatie met de IBD).

Geheimhouding medewerkers en screening incidenthandlers IBD

De incidenthandlers van de IBD hebben allen een verklaring van geen bezwaar naar aanleiding van een veiligheidsonderzoek door de AIVD. Alle medewerkers van de IBD hebben een geheimhoudingsverklaring ondertekend.

Pentest

Jaarlijks wordt door middel van een penetratietest gecontroleerd of de beveiligingsmaatregelen afdoende zijn. Het rapport van deze jaarlijkse test is voor vertrouwde contactpersonen informatiebeveiliging (VCIB’s) op vertoon van geldige legitimatie in te zien op locatie van de IBD.

Alleen aanleveren tbv waarschuwingen

Het is niet noodzakelijk om een volledig overzicht van de ICT omgeving op te geven. Gemeenten geven slechts de componenten op waarover zij kwetsbaarheidswaarschuwingen wensen te ontvangen.

De inleesfunctie uit de softwarecatalogus van KING is een hulpmiddel bij het opstellen van een overzicht in het kader van stap 4. Gegevens van gemeenten worden niet gedeeld met KING VNG of andere partijen.