VERDIEPINGSARTIKEL

Het wie, wat, wanneer en waarom van de verwerkersovereenkomst

Als salarisadministrateur heeft u niet alleen te maken met de persoonsgegevens die u zelf verwerkt. U heeft namelijk ook te maken met externe partijen die iets met de persoonsgegevens van de werknemers van uw organisatie doen. Denk bijvoorbeeld aan de aanbieder van uw salarissoftwarepakket. Uw organisatie blijft altijd verantwoordelijk voor de gegevens en hoe daarmee omgegaan wordt. U moet de afspraken met de externe partij vastleggen in een verwerkersovereenkomst.


2 april 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online.


Als salarisadministrateur kan het haast niet anders dan dat u te maken heeft met externe partijen. U gebruikt immers hoogst waarschijnlijk een salarissoftwarepakket van een softwareleverancier. Die leverancier heeft daardoor toegang tot persoonsgegevens van de werknemers van uw organisatie. Ook heeft u te maken met een bedrijfsarts of arbodienst die toegang heeft tot persoonsgegevens van werknemers van uw organisatie.

Verantwoordelijkheid bij uw organisatie

In beide gevallen blijft het de verantwoordelijkheid van uw organisatie hoe met die gegevens omgegaan wordt. U kunt de wettelijke verplichtingen niet uitbesteden. Eén van die wettelijke verplichtingen is het afsluiten van een zogenoemde verwerkersovereenkomst met uw softwareleverancier en andere partijen die persoonsgegevens voor uw organisatie verwerken. Liggen persoonsgegevens van werknemers of klanten neer op straat, dan is uw organisatie in de regel aansprakelijk voor de schade die is ontstaan door die overtreding van de privacywet. De verwerker komt in dat geval goed weg; die is slechts aansprakelijk voor de schade die direct is ontstaan door zijn werkzaamheden. Verder mag die partij de handen ervan aftrekken. Het is daarom van groot belang dat u weet welke rol uw organisatie en de externe partij spelen en welke verantwoordelijkheden daarbij horen.

Wat is verwerken eigenlijk precies?

Hoewel u misschien denkt dat er niet zoveel partijen zijn die persoonsgegevens voor uw organisatie verwerken, is de definitie van ‘verwerken’ heel breed: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ‘Raadplegen’ staat ook in deze lijst en dat betekent dat elke externe partij die de gegevens van werknemers (of andere personen) kan inzien, onder de regels van de AVG valt.

Partijen
Naast uw salarissoftwareleverancier kan dat bijvoorbeeld ook de ICT-helpdesk zijn die aan de softwareleverancier verbonden is. Ook met die partij moet uw organisatie een verwerkersovereenkomst sluiten. Hetzelfde geldt voor een werving- en selectiebureau, assessmentbureau en elke andere organisatie die voor uw organisatie gegevens verwerkt, ook al gaat het maar om enkele gegevens.

Dit moet in de verwerkersovereenkomst

Bepaalt uw organisatie zelf het doel en de middelen van de verwerking van persoonsgegevens en besteedt u dat uit aan een verwerker, dan is zij wettelijk verplicht om een verwerkersovereenkomst te sluiten met de andere partij. Uw organisatie moet dan met de verwerker afspreken welke persoonsgegevens worden verwerkt, hoe en waarom. Daarnaast moet in de verwerkersovereenkomst in ieder geval het volgende aan bod komen:

  • Een bepaling dat de verwerker de persoonsgegevens in schriftelijke opdracht van de organisatie verwerkt. Volgens de wet is de organisatie als verantwoordelijke aansprakelijk voor de gegevensverwerking. Dat kan alleen als de verwerker haar aanwijzingen opvolgt.
  • De verwerker moet de persoonsgegevens die hij te zien krijgt verplicht geheimhouden, behalve bij een wettelijke verplichting tot mededeling.
  • De verplichting dat de verwerker maatregelen moet treffen tegen verlies of onrechtmatige verwerking. Deze maatregelen moeten – rekening houdend met wat technisch en financieel mogelijk is – voor een passend beveiligingsniveau zorgen, gelet op de risico’s van de verwerking en de aard van de gegevens. Een voorbeeld is versleuteling van gegevensuitwisseling door ‘transport layer security’ (TLS, een encryptieprotocol voor communicatie tussen computers).
  • Een bepaling dat de verwerker bij het inschakelen van een subverwerker (een onderaannemer) daarvoor de uitdrukkelijke toestemming nodig heeft van de organisatie.
  • Een bepaling die voorschrijft dat de verwerker uw organisatie met passende technische en organisatorische maatregelen helpt om ervoor te zorgen dat werknemers gebruik kunnen maken van hun recht op inzage, wijziging en verwijdering van de gegevens.

Einde van de overeenkomst

Daarnaast zijn er nog twee belangrijke onderwerpen die u absoluut niet mag vergeten. De eerste daarvan is wat er met de gegevens moet gebeuren bij beëindiging van de overeenkomst. Hierbij is het belangrijk te voorkomen dat gegevens bij de verwerker achterblijven. Uw organisatie moet dus niet vergeten af te spreken dat de verwerker een kopie van de persoonsgegevens overdraagt voordat hij ze vernietigt. Vooral voor u als salarisadministrateur is dat van groot belang. U heeft bijvoorbeeld vanuit de wet de verplichting om uw loonadministratie zeven jaar te bewaren. Krijgt u geen kopie van de gegevens of heeft u na het einde van uw overeenkomst met uw salarisboer geen mogelijkheid meer om correcties door te voeren, dan kunt u niet voldoen aan uw wettelijke verplichtingen.

Verplichtingen van uw organisatie

Het tweede onderwerp betreft de afspraak dat de verwerker uw organisatie alle informatie geeft die u nodig heeft om uw verplichtingen na te komen. Denk bijvoorbeeld aan de gegevens die uw organisatie nodig heeft voor controles van Inspectie SZW en de Belastingdienst. Ook hierbij moet u goed nadenken over welke afspraken u wilt maken over het einde van uw overeenkomst en hoe u dan nog op een praktische wijze bij uw gegevens kunt komen. Maar ook de afspraken voor tijdens de overeenkomst zijn van belang: hoe snel kunt u bij de gegevens die de verwerker voor u verwerkt en wie heeft welke taken als er gegevens overlegd moeten worden aan de Belastingdienst, Inspectie SZW of een andere instantie?

Subverwerker: salarissoftwareleverancier en arbodienst

Als uw softwareleverancier of arbodienstverlener een andere verwerker in dienst neemt om voor uw organisatie specifieke verwerkingsactiviteiten te verrichten, gelden voor deze zogenoemde subverwerker dezelfde verplichtingen als die zijn opgenomen in de overeenkomst met de verwerker. Vooral de afspraken over de beveiliging van de persoonsgegevens is daarbij van belang. Ook moet de subverwerker passende technische en organisatorische maatregelen bieden zodat de verwerking aan de bepalingen uit de AVG voldoet. Als de andere verwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft de oorspronkelijke verwerker volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker. Zorg er dus voor dat u met uw salarissoftwareleverancier of arbodienstverlener goede afspraken maakt over subverwerkers!