Nieuwe privacywetgeving, ook impact voor softwareleveranciers!

25 mei 2018 is de datum waarop de Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. Deze nieuwe Europese privacyverordening regelt het verwerken van persoonsgegevens in de Europese Unie. Dit heeft niet alleen veel impact op gemeenten maar ook op u als softwareleverancier. Dus ook u heeft nog 10 maanden op te zorgen dat u en (het gebruik van) uw applicaties voldoen aan de eisen uit de AVG. Verwacht de komende maanden veel vragen van uw klanten over be- / verwerkersovereenkomsten,  de opslag van persoonsgegevens, privacy-by-design en het aansprakelijkheidsbedrag in uw contracten.

VNG en KING zijn bezig met een ondersteuningsaanpak voor gemeenten bij de invoering van de AVG. Hierbij wordt de uitdaging die u als leverancier heeft ook onderkend. Voor de verbetering van onze ondersteuningsaanpak zijn we nadrukkelijk geïnteresseerd in suggesties en vragen over de AVG van leveranciers, u kunt ze doorgeven aan privacy@kinggemeenten.nl

FAQ
Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerker?

Wanneer een partij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat u aan diens rechtstreekse gezag onderworpen bent, dan is deze partij een verwerker. De verwerking van de persoonsgegevens is de primaire opdracht. Hiermee wordt bedoeld dat de dienstverlening gericht moet zijn op het verwerken van persoonsgegevens voor de verwerkingsverantwoordelijke. Wanneer de verwerking van persoonsgegevens niet de primaire opdracht is, maar een afgeleiden van een andere vorm van dienstverlening, dan is de partij zelf de verwerkersverantwoordelijke voor de verwerking. Voorbeelden van verschillende soorten verwerkers kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ