Veelgestelde vragen rond de wet AVG

maandag 23 april 2018

Moet ik onder de nieuwe privacywet overal verwerkersovereenkomsten over afsluiten?

U wilt als werkgever scholingssubsidie aanvragen bij SSWT omdat u een medewerker naar een cursus heeft gestuurd. Voor de aanvraag moet u persoonsgegevens van uw medewerker (en van uzelf) opgeven. Hoe zit het ook al weer met die nieuwe privacywetgeving? Moet u nu een verwerkersovereenkomst afsluiten met SSWT voor deze subsidieaanvraag?

Gelukkig niet.

De vraag ligt voor de hand. Er is sprake van geautomatiseerde verwerking van persoonsgegevens. Dat is zelfs het geval als u een formulier downloadt en met de hand invult. U stuurt het namelijk op naar SSWT, waar de aanvraag natuurlijk in de kantoorautomatisering van SSWT wordt ingevoerd. De Algemene Verordening Gegevensbescherming (AVG) is dus van toepassing. Maar het doen van een subsidieaanvraag is geen handeling waar u een verwerkersovereenkomst met SSWT over afsluit.

De verwerkersovereenkomst sluit u af als uw bedrijf een bedrijfsproces uitbesteedt waarbij geautomatiseerde verwerking van persoonsgegevens plaats vindt. Voorbeelden:

  • uw bedrijf besteedt de loonadministratie uit aan een administratiekantoor,
  • uw bedrijf huurt een arbodienst in voor de ‘Poortwachter’
  • uw bedrijf zet de hele kantoorautomatisering ‘in de cloud’ bij een IT-bedrijf.

In deze voorbeelden zijn administratiekantoor, arbodienst en IT-bedrijf voorbeelden van verwerkers. U doet het werk waar u goed in bent, produceren van mooie timmerproducten, en laat ondersteunende bedrijfsprocessen over aan externe specialisten. U geeft daarvoor opdracht, u schrijft voor wat de verwerker voor u moet doen en u betaalt daarvoor. In dit geval zijn het specialisten die zich vooral bezig houden met het geautomatiseerd verwerken van uw data. Die data bevatten persoonsgegevens van uw medewerkers en/of uw klanten. U moet er voor zorgen dat die goed beveiligd zijn. In de verwerkersovereenkomst met het administratiekantoor legt u vast wat die verwerker doet met de persoonsgegevens, hoe de verwerker ze beveiligt, wanneer de verwerker u waarschuwt als er sprake is van een data lek, enz.

Een verwerkersovereenkomst is een uitgebreid juridisch document. Gelukkig hebben administratiekantoren en IT’ers veel kennis van privacywetgeving. Meestal hebben ze al een overeenkomst klaar liggen. Vraag of het ‘AVG-proof’ is. Als u al een verwerkersovereenkomst heeft afgesloten onder de huidige wetgeving (Wbp), dan kunt u daar waarschijnlijk nog goed mee vooruit. De eisen die de AVG stelt aan een verwerkersovereenkomst zijn niet echt veranderd.

 

Ja maar, als ik subsidie aanvraag bij SSWT moet ik wel persoonsgegevens van mijn medewerkers aan SSWT sturen!

 

Dat klopt. Subsidieaanvragen behandelen is het werk van SSWT. SSWT heeft daarvoor een regeling vastgesteld en schrijft voor welke gegevens u daarvoor moet aanleveren. U kunt over een subsidieaanvraag niet onderhandelen met SSWT, dus ook geen overeenkomst afsluiten. Zelfs geen verwerkersovereenkomst. Wat u wel krijgt is een privacyverklaring waarin SSWT uitlegt waarom u welke gegevens moet aanleveren, wat SSWT er mee doet, wanneer de gegevens weer worden vernietigt en nog een aantal zaken. De privacyverklaring (protocol, statement) is te vergelijken met de Algemene Voorwaarden maar dan specifiek voor persoonsgegevens. De privacyverklaring komt als download beschikbaar. U kunt daarmee SSWT aanspreken wanneer u constateert dat SSWT niet correct met de persoonsgegevens omgaat die u heeft aangeleverd. Op dezelfde manier als wanneer bijv. uw administratiekantoor zich niet houdt aan de afspraken die u samen heeft vastgelegd in het contract (waar de verwerkersovereenkomst onderdeel van uitmaakt) met dat administratiekantoor.

Op dit moment beschikt SSWT niet over een op de AVG afgestemde privacyverklaring met betrekking tot het aanvragen van subsidies. Houd de site in de gaten.