Schouten Zekerheid Employee Benefits
5.jpg

Wel of geen verwerkersovereenkomst?

U heeft er vast al iets over gelezen: op 25 mei aanstaande treedt in Nederland de Algemene Verordening Gegevensbescherming, AVG, in werking. Deze (Europese) verordening heeft tot doel burgers extra bescherming te bieden op het gebied van privacy. Uiteraard zal ook Schouten Zekerheid voldoen aan de eisen die deze verordening stelt. Naar aanleiding van diverse vragen die wij nu al van enkele relaties ontvingen, informeren wij u in dit informatiedocument over een bijzonder onderwerp uit de AVG, te weten de verwerkingsovereenkomst.

Wat is een verwerkingsverantwoordelijke?

Op grond van de AVG moet iedereen die persoonlijke gegevens van personen verwerkt hier zorgvuldig mee omgaan. De AVG geeft hiervoor een aantal normen. Bijvoorbeeld ten aanzien van de beveiliging van deze gegevens. Ook schrijft de verordening voor wat er gedaan moet worden wanneer onbevoegden kennisnemen van deze gegevens.

De AVG legt dus verplichtingen op aan de organisatie die verantwoordelijk is voor het verwerken van de persoonsgegevens. De AVG noemt deze organisaties dan ook de verwerkingsverantwoordelijke.

Wat is een verwerkingsovereenkomst?

In de praktijk komt het regelmatig voor dat een verwerkingsverantwoordelijke een andere organisatie inschakelt om namens haar bepaalde werkzaamheden uit te voeren. Wij verduidelijken dit met een voorbeeld. Een consument vraagt bij een bedrijf een informatiebrochure aan over badkamers. De badkamerfabrikant heeft met zijn reclamebureau afgesproken dat alle aanvragen naar dit reclamebureau worden gezonden en dat dit reclamebureau vervolgens de brochures verstuurt. Hiervoor heeft het reclamebureau echter de persoonsgegevens nodig die de badkamerfabrikant heeft ontvangen.

De AVG eist in dat geval dat de badkamerfabrikant een schriftelijke overeenkomst sluit met het reclamebureau waarin exact wordt vastgelegd wat het reclamebureau met deze adresgegevens wel en niet mag doen. Ook moet het reclamebureau de badkamerfabrikant waarschuwen wanneer deze gegevens mogelijk in handen van onbevoegden zijn gekomen.

Optreden NAMENS de verwerkingsverantwoordelijke dan verwerkingsovereenkomst

Een verwerkingsovereenkomst moet volgens de AVG alleen worden afgesloten wanneer een organisatie een derde inschakelt om namens haar bepaalde werkzaamheden uit te voeren.

Het onderscheid tussen het uitvoeren van werkzaamheden “namens” iemand en “op verzoek van” iemand is bepalend.

Wij geven hiervan een voorbeeld. Een financieel advieskantoor adviseert zijn relaties op het gebied van hypotheken. Op enig moment wordt bij de notaris een hypotheekakte opgesteld. Het advieskantoor kan hiervoor het contact leggen met de notaris.

De notaris heeft echter een eigen verantwoordelijkheid wanneer hij een hypotheekakte opstelt. Hij kan dit op verzoek doen van het advieskantoor, maar hij doet dit niet namens het kantoor. Het financiele advieskantoor is niet bevoegd om notariële aktes op te maken. Als het advieskantoor de notaris gegevens aanlevert die hij nodig heeft om de hypotheekakte op te stellen, doet het kantoor dit op basis van de overeenkomst van advies en bemiddeling die zij met hun klant hebben afgesloten. Het advieskantoor hoeft geen verwerkingsovereenkomst met deze notaris af te sluiten.

Uiteraard moet de notaris zelf zorgvuldig omgaan met de ontvangen persoonsgegevens. Hij is zelf verwerkingsverantwoordelijke voor de gegevens die hij heeft ontvangen voor het opmaken van de hypotheekakte.

Hoe zit het dan met pensioenen, WIA-verzekeringen en collectieve zorgverzekeringen?

Deze vraag wordt ons regelmatig gesteld. Indien een onderneming het pensioen, de WIA-verzekeringen of de collectieve zorgverzekering voor hun medewerkers door ons kantoor wil laten verzorgen, moet dit bedrijf dan met ons kantoor een verwerkingsovereenkomst afsluiten?

Het antwoord is nee.

Immers de werkgever is niet de organisatie die zelf als pensioen-, WIA of zorgverzekeringsuitvoerder mag optreden of zelf adviezen hieromtrent verstrekt. Indien de onderneming ons kantoor benadert om advies te geven aan de onderneming, dan doen wij dit niet namens de onderneming maar op verzoek van de onderneming.

Voor de gegevens die wij van de onderneming ontvangen en die nodig zijn om een goed advies te geven zijn wij zelf verwerkingsverantwoordelijke. Op grond daarvan zijn wij zelf aanspreekbaar op het feit dat wij zorgvuldig met deze gegevens moeten omgaan. Een verwerkingsovereenkomst tussen de werkgever en ons kantoor is dus niet nodig!

Vragen?

Wij hopen dat wij u met deze informatieve tekst duidelijkheid hebben gegeven wanneer er wel en niet een verwerkingsovereenkomst moet worden afgesloten. Heeft u na lezing toch nog vragen? Aarzel dan niet om contact met ons op te nemen. Wij zullen deze dan zo goed mogelijk proberen te beantwoorden.

Publicatiedatum: 12 april 2018