Bel mij terug

Zoek op trefwoord

Filter

Kies een categorie

AVG Check

Actie 8 / Sluit zo nodig verwerkersovereenkomsten af

Als u beheer van (een deel van) uw personeels- of loonadministratie uitbesteedt aan een externe partij, persoonsgegevens opslaat op servers van een externe partij of wanneer de arbodienst of bedrijfsarts ook niet-medische persoonsgegevens verzamelt en gebruikt: sluit met deze partijen een “verwerkersovereenkomst” en gebruik hiervoor de overeenkomst hieronder. Ga na of de verwerkers voldoen aan de AVG.

In het profiel van metaalbedrijf Jansen hebben wij aangegeven dat metaalbedrijf Jansen de personeelsadministratie in eigen beheer heeft. Metaalbedrijf Jansen besteedt de loonadministratie wel (volledig of gedeeltelijk) uit aan een derde, namelijk haar externe loonadministrateur, boekhouder of accountant. Daarnaast werkt metaalbedrijf Jansen samen met de arbodienst, het pensioenfonds, de verzuimverzekeraar en leasemaatschappij.

Indien u de personeels- of loonadministratie uitbesteedt aan een derde blijft u verantwoordelijk voor de verwerkingen. De partij die de verwerkingsactiviteiten voor u uitvoert, wordt ‘verwerker’ genoemd. Hieronder wordt niet verstaan een partij aan wie u een opdracht tot het leveren van zaken of diensten uitbesteedt die niet zien op verwerking van persoonsgegevens. Als u een ander bedrijf opdracht geeft tot het vervaardigen van visitekaartjes voor uw werknemers dan is geen sprake van een verwerker, ook al gaat de derde hierbij persoonsgegevens verwerken. De opdracht ziet immers niet zozeer op verwerking van persoonsgegevens, maar op het leveren van zaken. Het verwerken van persoonsgegevens vloeit hier uit voort. Omdat dit voortvloeit uit de opdracht, heeft de opdrachtnemer ook geen zeggenschap over de verwerking (m.a.w. hij bepaalt niet welke gegevens worden verwerkt en hoe). Wanneer u een ander bedrijf vraagt om de loonadministratie te beheren, dan is die derde wel een verwerker. Die opdracht ziet in de kern immers wél op verwerking van persoonsgegevens.

Besteedt u de personeels- of loonadministratie uit aan een ander, dan zult u moeten nagaan of de verwerker in kwestie voldoet aan de wettelijke eisen omtrent de verwerking van persoonsgegevens. De bescherming van de rechten van betrokkenen, in dit geval de werknemers, moet zijn gewaarborgd. Er moeten daardoor passende technische en organisatorische maatregelen worden getroffen. Het is uw taak te controleren of de verwerker de zaken op orde heeft. Verder zult u een overeenkomst moeten sluiten met de verwerker, waarin u minimaal een aantal onderwerpen regelt en vastlegt. In de bijlage treft u hiervoor een voorbeeldovereenkomst aan. De geel gearceerde onderdelen zijn de onderwerpen waarvan de AVG voorschrijft dat u ze regelt.

Als werkgever hebt u natuurlijk ook te maken met de arbodienst, het UWV, de Belastingdienst en het verplicht gestelde bedrijfstakpensioenfonds (zoals PMT en PME). Al deze partijen hebben in de wet vastgelegde taken en daardoor eigen verplichtingen ten aanzien van (wettelijk voorgeschreven) verwerkingen. U bent wettelijk verplicht om deze partijen/overheidsinstanties bepaalde persoonsgegevens te verstrekken voor het in de wet vastgestelde doel. In het geval van de arbodienst geldt dat de arbodienst voor het medische deel van de verwerkingen de verwerkingsverantwoordelijke is. Dat bent u voor het medische deel dus niet zelf, omdat u niet degene bent die bepaalt hoe en waarvoor de medische gegevens precies worden verwerkt.

Om deze reden zijn de bovengenoemde partijen/overheidsinstanties géén verwerkers, maar verwerkingsverantwoordelijken. De definitie van een verwerkingsverantwoordelijke volgens de AVG is: 
“het bedrijf, de organisatie of de persoon/personen die bepaalt/bepalen waarvoor en hoe persoonsgegevens worden verwerkt.”

Het voorgaande betekent dat u - voor het verstrekken van persoonsgegevens van uw werknemers - met het UWV, de Belastingdienst en het verplicht gestelde bedrijfstakpensioenfonds geen verwerkersovereenkomst hoeft aan te gaan.

Dan kan zich nog de situatie voordoen dat u uw persoonsgegevens opslaat op servers die niet van u zijn, maar van een andere partij. Het gebruikmaken van deze serverruimte voor de opslag van persoonsgegevens is een opdracht die ziet op het verwerken van persoonsgegevens. Dat maakt dat de partij die de serverruimte ter beschikking stelt een verwerker is en u hiermee eveneens een verwerkersovereenkomst moet sluiten. U kunt hierbij bijvoorbeeld denken aan het bedrijf Microsoft. In het kader van Office 365 bijvoorbeeld wordt vaak gebruik gemaakt van opslagruimte van Microsoft voor e-mails in Outlook of voor bestanden in OneDrive. Het nadeel van een groot bedrijf als Microsoft is dat u hiermee hoogstwaarschijnlijk niet zult kunnen onderhandelen over een verwerkersovereenkomst. Bij de aanschaf van de gebruikslicentie zult u simpelweg met de contractuele voorwaarden van Microsoft moeten instemmen. Dat geldt ook voor persoonsgegevens die in handen komen van andere derden, zoals bijvoorbeeld de leveranciers van besturingssystemen (denk aan Windows). Vraag uw ICT‘er in ieder geval te bekijken of er gegevensoverdracht plaatsvindt en de instellingen zo privacyvriendelijk mogelijk te maken. Voor Windows 10 heeft de AP een ‘Handleiding privacyvriendelijk instellen Windows 10’ opgesteld. Deze kunt u vinden op de website van de AP.

Kortom, de meeste mkb’ers zullen in ieder geval verwerkersovereenkomsten moeten sluiten met het bedrijf dat voor hen (delen van) de personeels- of loonadministratie beheert of uitvoert, met de externe partij op wiens server persoonsgegevens worden opgeslagen en met de arbodienst of bedrijfsarts die méér persoonsgegevens verzamelt en gebruikt dan alleen de medische gegevens (dit zal meestal wel het geval zijn).

> Download de verwerkersovereenkomst (word)
 

Ga naar actie 7 Ga naar actie 9