Klantenreactie

Kap salarisadministratie is onze partner op het gebied van salarisadministratie. We zijn bij Kap terecht gekomen op het moment dat zij begonnen als... Lees meer ›
Theo Grimme, Bi-Select B.V.

Algemene Verordening Gegevensbescherming (AVG)

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU).
Inhoudsopgave
  1. Wat is een verwerkersovereenkomst?
  2. Wat houdt een verwerkersovereenkomst in?
  3. Wanneer is een verwerkersovereenkomst nodig?
  4. Is het echt nodig om een verwerkersovereenkomst te hebben?
  5. Wie is de ‘verantwoordelijke’ in de verwerkersovereenkomst?
  6. Wie is de ‘verwerker’ in de verwerkersovereenkomst?
  7. Wat is een persoonsgeven?
  8. Onderwerpen in een verwerkersovereenkomst

Wat is een verwerkersovereenkomst?
In de AVG wordt gesproken over een verwerkersovereenkomst. Voorheen: Wbp (Wet bescherming persoonsgegevens). Met de komst van de Europese Privacy-verordening zijn de begrippen ‘bewerker’ en ‘bewerkersovereenkomst’ hernoemd naar ‘verwerker’ en ‘verwerkersovereenkomst’. In de verwerkersovereenkomst (of Data Processing Agreement (DPA)) komen begrippen voor die we onderstaand zullen toelichten. Dit zijn de begrippen ‘verantwoordelijke’ en ‘verwerker’.

Wat houdt een verwerkersovereenkomst in?
De verwerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Voorbeeld: een bedrijf (verantwoordelijke) en een salarisadministratiekantoor (verwerker) moeten een schriftelijke overeenkomst met elkaar aangaan omdat het bedrijf
persoonsgegevens van zijn werknemers bijhoudt voor de salarisadministratie. De verantwoordelijkheid dat deze overeenkomst afgesloten wordt ligt bij de verantwoordelijke (in dit voorbeeld het bedrijf).

Wanneer is een verwerkersovereenkomst nodig?
Als een verantwoordelijke persoonsgegevens laat verwerken door een verwerker, dan is altijd een verwerkersovereenkomst tussen de partijen verplicht. Dit geldt ook als de verwerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens uitbesteedt, is een schriftelijke overeenkomst vereist. Van verwerken van persoonsgegevens is al snel sprake: het inzien van de gegevens door een externe partij is al een verwerking.

Is het echt nodig om een verwerkersovereenkomst te hebben?
Ja, het is wettelijk verplicht om een verwerkersovereenkomst te hebben. Heeft u dit niet, dan kunnen er sancties (boetes) opgelegd worden. Daarom is het van belang dat u voor 25 mei 2018 beschikt over een verwerkersovereenkomst.

Wie is de ‘verantwoordelijke’ in de verwerkersovereenkomst?
De verantwoordelijke (controller) is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Denk aan het voorbeeld van een bedrijf dat de persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). De verantwoordelijke (in dit voorbeeld het bedrijf) kan dit alleen doen of samen met anderen (zoals Salarisadministratie & Personeelsadvies K.A.P. B.V.). Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:
  • om welke verwerking het gaat;
  • welke persoonsgegevens het bedrijf hierbij verwerkt;
  • voor welk doel het bedrijf dit doet;
  • op welke manier het bedrijf dit doet.
Wie is de ‘verwerker’ in de verwerkersovereenkomst?
Een verwerker (processor) is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. In bovengenoemd voorbeeld zou Salarisadministratie & Personeelsadvies K.A.P. B.V., dat voor uw bedrijf de salarisadministratie afhandelt, de verwerker zijn. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. De verwerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

Wat is een persoonsgegeven?
Een persoonsgegeven is een gegeven aan de hand waarvan een natuurlijk persoon kan worden geïdentificeerd. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens. Voorbeelden van een persoonsgegeven: naam- en adresgegevens, e-mailadressen, pasfoto’s, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens.

Onderwerpen in een verwerkersovereenkomst
De AVG stelt dat in een verwerkersovereenkomst de volgende zaken in ieder geval vermeld moeten zijn:
  • de duur van de verwerking;
  • de aard en de doeleinden van de verwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de specifieke taken en verantwoordelijkheden van de verwerker en het risico in verband met de rechten en bevoegdheden van de betrokkenen;
  • de voorafgaande toestemming van de verantwoordelijke voor het inschakelen van subverwerkers;
  • het waarborgen van vertrouwelijkheid;
  • hoe persoonsgegevens beveiligd zijn;
  • hoe het ter beschikking stellen van informatie aan de verantwoordelijke in het kader van audits is geregeld.
Wat verwachten wij van u:
Graag ontvangen wij van u vóór 15 mei 2018 een verwerkersovereenkomst.
U kunt deze zelf opstellen of op laten stellen door een derde.

Wij hebben een verwerkersovereenkomst op laten maken die wij voor een bedrag van slechts € 95 aan u beschikbaar kunnen stellen. Indien u hiervan gebruik wenst te maken, kunt u dat kenbaar maken door een mail te sturen naar info [at] kapsalaris.nl. Wij zullen dan zorgen dat de verwerkersovereenkomst zo spoedig mogelijk aan u wordt toegezonden.

Indien u naar aanleiding van dit bericht nog vragen heeft, neemt u dan even contact op met ons kantoor.

Salarisadministratie & Personeelsadvies K.A.P. B.V.