Juridische drempel verwerving particulier archief
Een particuliere organisatie, die werkzaam is in de zorg en een vangnet vormt daar waar die van de ove...
Beste collega's,
Tot nog toe heb ik nog geen verwerkersovereenkomst o.g.v. AVG gezien, die geheel toepasbaar is voor de archiefsector. Concreet heb ik te maken met een bedrijf, dat documenten scant. Documenten zullen persoonsgegevens van nog levende personen bevatten. Vandaar dat we een verwerkersovereenkomst sluiten. Het model van de gemeente Rotterdam blijkt echter 'te groots' van opzet in relatie tot de opdracht. De opdracht heeft een kostenplaatje van ruim onder de in de Aanbestedingswet genoemde grens. Daarom is deze niet aanbesteed. Het boetebeding in het model staat in geen verhouding tot de opdracht als geheel, wat bij het scanbedrijf tot discussie leidde. Daarom hebben we dit naar beneden bijgesteld, zodat de verwerkersovereenkomst toch door beide partijen gedragen en ondertekend wordt. Dit als een van de voorbeelden. Wie heeft nog meer te maken met deels onbruikbare algemeen toepasbare modellen en zouden er al archiefinstellingen zijn die eigen modellen hebben ontwikkeld. Daar ben ik nieuwsgierig naar.
Theo Vermeer
Stadsarchief Rotterdam
Reacties
Beste Theo
Ik ken het model van de gemeente Rotterdam niet, maar een verwerkersovereenkomst hoeft niet per se heel ingewikkeld te zijn. Dat hangt inderdaad mede af van de aard van de diensten. Ook modelovereenkomsten zul je moeten aanpassen aan de opdracht. Bij grote IT-projecten zullen de afspraken gedetailleerder moeten zijn (en wellicht ook technischer) dan bijvoorbeeld het laten digitaliseren van archiefbescheiden. In zijn algemeenheid geldt het volgende:
Op grond van de AVG moeten er een aantal afspraken worden gemaakt, wanneer in opdracht persoonsgegevens worden verwerkt. In de samenwerkingsafspraken zal het volgende moeten worden opgenomen om aan de AVG te voldoen:
- Persoonsgegevens mogen alleen verwerkt worden op basis van de instructies van de verwerkingsverantwoordelijke;
- Werknemers en andere door de verwerker ingeschakelde personen moeten vertrouwelijkheid in acht nemen. Een geheimhoudingsbeding is dus verstandig;
- Er moeten passende organisatorische en technische beveiligingsmaatregelen worden getroffen;
- Alleen met toestemming van de verwerkingsverantwoordelijke mag een subverwerker ingeschakeld worden. Dit kan als een algemene of specifieke toestemming worden opgenomen; Als er een subverwerker wordt ingeschakeld, moet aan deze partij dezelfde verplichtingen worden opgelegd als die wij van de verwerkingsverantwoordelijke opgelegd heeft gekregen;
- Afspraken over het meewerken aan het uitoefenen van de rechten van betrokkenen;
- Afspraken over tijdig melden datalekken, op zo’n manier dat de verwerkingsverantwoordelijke aan diens verplichtingen kan voldoen;
- Afspraken over meewerken aan een DPIA (gegevensbeschermingeffectenbeoordeling);
- Na afloop van de overeenkomst moet de persoonsgegevens teruggeven aan de verwerkingsverantwoordelijke of moeten deze worden vernietigd ;
- de digitaliseerder moet alle afspraken nakomen en meewerken aan het controleren daarvan, door mee te werken aan audits en inspecties.
Bovenstaande moet dus in een overeenkomst worden geregeld. Dat kan een aparte overeenkomst zijn, maar kan ook onderdeel uitmaken van de overeenkomst waarmee de dienst wordt ingekocht.
Check de uiteindelijke overeenkomst altijd bij een jurist (zeker wanneer deze sterk afwijkt van modelbepalingen) :-)
Groeten,
Erik
Dank je wel, Erik! Mag ik je mijn huidige model opsturen, zodat we samen ernaar kunnen kijken?