2025_VB_00077 - Bestuurszaken. Privacy en informatieveiligheid - Aanpassing sjabloon verwerkersovereenkomst. Delegatie aan algemeen directeur. Opheffing - Goedkeuring

Op 25 mei 2018 trad de Europese verordening gegevensbescherming (AVG) in werking.

Volgens artikel 28 van de AVG kan elke verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens een beroep doen op een derde partij, de verwerker genoemd, die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens zal verwerken. 

Artikel 28 van de VERORDENING (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming).

Wanneer een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens een beroep wil doen op een derde (verwerker), is het aangewezen om hierover een overeenkomst af te sluiten. In die overeenkomst worden onder meer de volgende zaken opgenomen: 

• het onderwerp en de duur van de verwerking;
• de aard en het doel van de verwerking; 
• het soort persoonsgegevens en de categorieën van betrokkenen;
• en de rechten en verplichtingen van beide partijen. 

Na de inwerkingtreding van de AVG dienden er een groot aantal verwerkersovereenkomsten te worden afgesloten. Daarom was het aangewezen een sjabloon van een verwerkersovereenkomst goed te keuren en de bevoegdheid om de overeenkomsten namens de stad en OCMW Antwerpen af te sluiten met verwerkers te delegeren aan de algemeen directeur en vervolgens aan de bevoegde bedrijfsdirecteurs. De bedrijfseenheden zijn immers verantwoordelijk voor de uitvoering van het stedelijk informatieveiligheidsbeleid. Het afsluiten van verwerkersovereenkomsten ligt in het verlengde daarvan.

Deze delegatie geldt enkel voor zover het sjabloon van de verwerkersovereenkomst wordt gebruikt. Indien verwerkersovereenkomsten worden afgesloten die niet stroken met het sjabloon dat door het vast bureau werd goedgekeurd, zal een beslissing van het vast bureau nog nodig blijven.

Het vast bureau keurde daarom op 29 maart 2019 (jaarnummer 129) een sjabloon goed en keurde eveneens de delegatie goed. Na 6 jaar werd het sjabloon geüpdatet. Het aangepaste sjabloon wordt nu ter goedkeuring aan het vast bureau voorgelegd.

In het sjabloon werden wijzigingen aangebracht in:

• artikel 3.1: duur van de verwerkersovereenkomst dient steeds samen te lopen met de hoofdopdracht/hoofdovereenkomst
• artikel 3.3: werd verplaatst naar artikel 11
• artikel 6.1 werd herschreven: de verwerkingsverantwoordelijke (vwv) gaat akkoord dat de verwerker subverwerkers kan inschakelen en kan desgevallend bezwaar maken tegen een bepaalde subverwerker - hoe dit bezwaar verloopt werd uitgeschreven in een nieuw artikel 6.2
• artikel 9.3 is nieuw: de controle/audit die de verwerkingsverantwoordelijke uitvoert is ten laste van de vwv, tenzij de verwerker niet voldeed aan de voorwaarden van de AVG/de verwerkersovereenkomst/de hoofdovereenkomst.
• artikel 10 werd herschreven: wat de aansprakelijkheid betreft wordt nu expliciet verwezen naar artikel 82 van de AVG
  

De vroegere bijlages 1,2 en 3 werden in het huidige sjabloon samengevoegd tot 1 bijlage. Bijlage 2 is nieuw (melden van een datalek).

In de nieuwe bijlage 1 werden de technische en organisatorische maatregelen waaraan verwerkers dienen te voldoen uitgebreid en aangepast op basis van de vragenlijst informatieveiligheid voor verwerkers zoals recent ontwikkeld door de Vlaamse Toezichtcommissie.