Collegevoorstel
Openbaar Onderwerp
Bewerkersovereenkomst WIZportaal Programma
BW-nummer
Zorg & Welzijn Portefeuillehouder
B. Frings Samenvatting
Directie/afdeling, ambtenaar, telefoonnr.
Voor de sociale wijkteams in de regio Nijmegen is nieuwe software in gebruik genomen voor regie, monitoring en registratie van persoonsgegevens. Deze software (WIZportaal) wordt geleverd door het softwarebedrijf Solviteers. Om de dienstverlening van Solviteers juridisch mogelijk te maken moet een bewerkersovereenkomst worden afgesloten op basis van de Wet bescherming persoonsgegevens.
MO00, Jan Bannink, 9684 Datum ambtelijk voorstel
18 mei 2015 Registratienummer
15.0004719
Ter besluitvorming door het college
Paraaf akkoord
Datum
Paraaf akkoord
Datum
1. De bewerkersovereenkomst met Solviteers, de leverancier van het ICT-systeem voor de sociale wijkteams, vast te stellen. Steller Jan Bannink
2. Ter besluitvorming door de burgemeester: Afdelingshoofd Zorg machtiging te verlenen tot ondertekening van de bewerkersovereenkomst.
Alleen ter besluitvorming door het College Besluit B&W d.d. 26 mei 2015
X Conform advies Aanhouden Anders, nl.
nummer: 4.6
Bestuursagenda
Portefeuillehouder
Voorstel bewerkersovereenkomst
Collegevoorstel
1
Probleemstelling
Voor de sociale wijkteams in de regio Nijmegen is nieuwe software in gebruik genomen voor regie, monitoring en registratie van persoonsgegevens. De software (WIZportaal) wordt geleverd door het softwarebedrijf Solviteers. De klantgegevens worden bewaard en verwerkt in de “cloud” van Solviteers. “Cloud” staat voor geheugenruimte. Omdat Solviteers volgens de wet ‘bewerker’ is gaan we een bewerkersovereenkomst afsluiten waarin afspraken zijn gemaakt over het doel waarvoor gegevens mogen worden verwerkt. 2
Juridische aspecten
De Wet bescherming persoonsgegevens (Wbp) verplicht tot het afsluiten van een bewerkersovereenkomst als sprake is van een bewerker. Solviteers is de organisatie die ten behoeve van de gemeente Nijmegen persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Als zodanig is Solviteers bewerker. In de bewerkersovereenkomst wordt vastgelegd voor welke doeleinden de gegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen en welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen. 3
Doelstelling
Het doel is dat de gegevensverwerking van persoonsgegevens door Solviteers controleerbaar, veilig en volgens de Wbp wordt uitgevoerd. Dit wordt vastgelegd in een bewerkersovereenkomst. 4
Argumenten
1 Wettelijke verplichting Volgens de Wet bescherming persoonsgegevens (Wbp) zijn we verplicht een bewerkersovereenkomst af te sluiten omdat er sprake is van een bewerker. 2 Respect voor Privacy Naast onze wettelijke verplichting hebben we respect voor de privacy van onze burgers en dient er zorgvuldig gewerkt te worden met persoonsgegevens. 5
Financiën
Dit voorstel heeft geen financiële consequenties. 6
Participatie en Communicatie
De cliënten van het Sociaal wijkteam geven middels een formulier toestemming voor het verstrekken van persoonsgegevens en worden daarbij geïnformeerd over de verwerking van persoonsgegevens in ons systeem. Dit is volgens het privacyreglement. Cliënten zijn bevoegd om hun eigen gegevens op te vragen. Daarnaast wordt er op dit moment gewerkt aan een burgerportaal waar de cliënten hun eigen gegevens digitaal kunnen inzien. 7
Uitvoering en evaluatie
De bewerkersovereenkomst werkt aanvullend op de Raamovereenkomst, die is aangegaan in september 2014 en een maximale looptijd heeft van 5 jaar. Hoewel gemeente Nijmegen namens de regio optreedt als gastheer en derhalve mede namens de regiogemeenten de Raamovereenkomst is aangegaan met Solviteers zullen alle regiogemeenten afzonderlijk een bewerkersovereenkomst moeten afsluiten als verantwoordelijke voor de gegevensverwerking van persoonsgegevens. Hiertoe zal de tekst van de overeenkomst van Nijmegen beschikbaar worden gesteld aan de regiogemeenten.
Collegevoorstel
Vervolgvel
2
8
Risico
Op grond van de Wbp dienen we het verwerken van persoonsgegevens te melden bij het College Bescherming Persoonsgegevens (CBP). Het CBP is toezichthouder van de Wbp en kan boetes opleggen wanneer we de wet niet naleven.
Bijlage: Bewerkersovereenkomst WIZ-Portaal
Bewerkersovereenkomst WIZ-Portaal De ondergetekenden: 1. Gemeente Nijmegen, te dezen rechtsgeldig vertegenwoordigd door Anco Hamming, hoofd afdeling Zorg & Inkomen, verder 'Verantwoordelijke' genoemd, 2. Solviteers gevestigd te Houten, te dezen rechtsgeldig vertegenwoordigd door Jelle Gotjé, verder 'Bewerker' genoemd. In het kader van deze overeenkomst worden de aanduidingen ‘Verantwoordelijke’ en ‘Bewerker’ gebruikt overeenkomstig de betekenis die daaraan in de Wet bescherming persoonsgegeven wordt gegeven, daar waar van toepassing aangescherpt door het Informatie beveiligingsbeleid van de Gemeente Nijmegen. Daar waar deze tegenstijdig zijn, prevaleert de definitie van de Gemeente Nijmegen. Overwegende dat: - Verantwoordelijke de opdracht om software beschikbaar te stellen voor Sociale Wijkteams heeft gegund aan Solviteers; - Het WIZ-portaal een softwareoplossing is die interactie mogelijk maakt tussen cliënt, consulent en ketenpartners; - De doelstelling is om een totaalbeeld van de burger te verschaffen door een integrale cliëntbenadering, binnen de voorwaarden van de privacywetgeving; - Gegevens, waaronder persoonsgegevens van cliënten, worden opgeslagen bij Bewerker; - Tussen de gemeente Nijmegen en Solviteers is de Raamovereenkomst Gemeente Nijmegen en Solviteers Europese Aanbesteding Software Sociale Wijkteams (Projectnummer 13INK029) afgesloten, verder te noemen de Raamovereenkomst; Komen het volgende overeen: 1
Rol Verantwoordelijke/Bewerker a) Verantwoordelijke geeft bewerker opdracht bewerkingshandelingen met betrekking tot persoonsgegevens uit te voeren die noodzakelijk zijn voor een juiste werking van de aangeboden dienst, te weten het WIZ-portaal; b) Bewerker zal de persoonsgegevens uitsluitend gebruiken voor de door hem aangeboden dienst, te weten het WIZ-portaal; c) Verantwoordelijke en Bewerker leggen hun verplichtingen ten aanzien van het verwerken van gegevens, voortvloeiende uit de opdracht van de Verantwoordelijke aan de Bewerker vast in deze Bewerkersovereenkomst; d) Verantwoordelijke draagt er zorg voor dat alleen die gegevens die daadwerkelijk van belang zijn voor de uitvoering van de met Bewerker overeengekomen werkzaamheden aan Bewerker zullen worden verstrekt; e) Bewerker neemt geen eigen beslissingen over het gebruik van de aan de Bewerker verstrekte gegevens, de verstrekking aan derden en de duur van de opslag van gegevens die aan de Bewerker door de Verantwoordelijke ter verwerking beschikbaar gesteld worden;
2
Verwerking van gegevens a) Bewerker, die geen zelfstandige zeggenschap heeft over de gegevens, zal de gegevens uitsluitend verwerken voor de doelen die zijn opgenomen in deze overeenkomst. b) Bewerker zal geen andere kopieën van de gegevens maken dan strikt noodzakelijk is voor de doelen die zijn opgenomen in deze overeenkomst. c) Bewerker zal geen productiegegevens van de Verantwoordelijke gebruiken voor testdoeleinden tenzij Bewerker hiervoor vooraf schriftelijk toestemming van Verantwoordelijke gekregen heeft. d) De verwerking van gegevens geschiedt binnen de Europese Unie en door juridische entiteiten die exclusief onder Europees recht vallen.
1
3
Inschakeling derden a) Bewerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de verantwoordelijke. b) De verantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze bewerkersovereenkomst. c) De bewerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bewerkersovereenkomst.
4
Naleving instructies De Bewerker zal bij de verwerking van persoonsgegevens in het kader van de opdracht handelen in overeenstemming met de toepasselijke wet- en regelgeving op het gebied van de bescherming van persoonsgegevens en voldoen aan de vragen op het gebied van bescherming en beveiliging van persoonsgegevens zoals zijn opgenomen in de bijlage “Vragenlijst voor leveranciers van Cloud diensten, §2 Privacy en Beveiliging”.
5
Beveiliging Bewerker zal zorgdragen voor passende technische en organisatorische maatregelen om gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige kennisname of verwerking van deze gegevens. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. Alle gebeurtenissen die van invloed kunnen zijn op de beschikbaarheid, integriteit of vertrouwelijkheid van de gegevens van de Verantwoordelijke dienen per omgaande aan de Verantwoordelijke te worden gemeld. In het bijzonder moet hierbij worden gedacht aan: - Inbraken of pogingen daartoe; - Ongeautoriseerde wijzigingen; - Verlies van informatie; - Onbedoeld publiekelijk beschikbaar zijn van niet openbare informatie. Gegevens die niet langer noodzakelijk zijn voor het uitvoeren van de overeenkomst dienen onmiddellijk door Bewerker verwijderd te worden op een dusdanige manier dat deze niet meer terug te halen zijn.
6
Geheimhoudingsplicht De geheimhoudingsplicht van gegevens door Bewerker, welke voor persoonsgegevens is vastgelegd in artikel 12 Wet bescherming persoonsgegevens, kan alleen worden doorbroken wanneer een wettelijk voorschrift verplicht om gegevens te verstrekken of onderzoeksleider bij Verantwoordelijke aan Bewerker de noodzaak tot mededeling heeft aangegeven of dit voortvloeit uit de werkzaamheden. Bewerker verplicht de personen die in zijn dienst zijn dan wel werkzaamheden voor hem verrichten tot geheimhouding met betrekking tot alle gegevens waarvan zij met betrekking tot de uitvoering van deze overeenkomst kennis kunnen nemen. Bewerker zal Verantwoordelijke terstond op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van mededeling van de gegevens in strijd met de geheimhoudingsplicht.
7
Audits Verantwoordelijke kan audits uitvoeren of laten uitvoeren. Audits zullen voorafgegaan worden door onderling overleg en plaatsvinden op een vooraf vastgesteld tijdstip.
8
Aansprakelijkheid a) Indien de bewerker tekortschiet in de nakoming van de verplichting uit deze overeenkomst kan verantwoordelijke hem in gebreke stellen. Bewerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders
2
dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de bewerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is bewerker in verzuim. b) Bewerker is aansprakelijk voor alle schade of nadeel voortvloeiende uit het nietnakomen van, of in strijd handelen met de bij of krachtens de Wbp gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze overeenkomst bepaalde. Bewerker is aansprakelijk voor schade of nadeel voor zover ontstaan door zijn werkzaamheid. Bewerker is tevens aansprakelijk voor alle schade of nadeel voortvloeiende uit de door zijn werkzaamheid ontstane inbreuken op de persoonlijke levenssfeer van betrokkenen. Deze aansprakelijkheid is beperkt tot handelen en nalaten dat toerekenbaar is aan leverancier en is in omvang beperkt tot het maximum bedrag van de aansprakelijkheidsverzekering van leverancier. 9
Wijziging overeenkomst Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.
10
Slotbepalingen Deze Bewerkersovereenkomst werkt aanvullend op de Raamovereenkomst tussen ondergetekenden en ziet specifiek toe op de gegevensstromen en privacy waarborgen daaromtrent. De looptijd van deze Bewerkersovereenkomst is gelijk aan die van de Raamovereenkomst. Deze overeenkomst treedt in werking na ondertekening door beide partijen. Zodra de onderhavige overeenkomst eindigt, geeft de Bewerker reeds bewerkte gegevens per ommegaande -en zonder dat de Verantwoordelijke hierom hoeft te vragen- aan de Verantwoordelijke.
Aldus in tweevoud opgemaakt op…………………………. te Nijmegen
Namens Verantwoordelijke
Namens Bewerker
A. Hamming
J. Gotjé
3
