"Voor futureproof ondernemen in flex"
SLUIT MENU

AVG rollen en overeenkomsten bij verwerking van persoonsgegevens

AVG rollen en overeenkomsten bij verwerking van persoonsgegevens

Column onder redactie van Gerrit van Rooij, Functionaris Gegevensbescherming (FG) van HelloFlex group

“In mijn rol als Functionaris Gegevensbescherming krijg ik regelmatig vragen over de AVG (Algemene Verordening Gegevensbescherming). Meestal zijn deze vrij simpel te beantwoorden, maar ik krijg ook vragen waar ik wat langer over moet nadenken. De AVG geeft niet altijd eenduidige en evidente antwoorden. Soms is het handig met iemand te sparren over het juiste antwoord. Dit bracht mij op het idee om een rubriek te starten waarin experts periodiek een ingebrachte vraag of issue bespreken.

In dit blog nodig ik Jolanda Aalten*, advocaat arbeidsrecht en privacyrecht, en Theo Spijkerman**, Data Privacy Lead Adecco Group, uit hun visie te delen.”

Er is nog altijd wel eens onduidelijkheid over de verschillende rollen die de AVG onderscheidt. Wanneer is een bedrijf nu een verwerker, en wanneer moet ik een verwerkersovereenkomst afsluiten? En als ik verwerkingsverantwoordelijke ben, waar ben ik dan precies verantwoordelijk voor. Wat is eigenlijk het risico als ik zo’n overeenkomst niet heb? Deze en andere vragen leg ik in dit artikel voor aan onze privacy experts.

Ik begin met een makkelijke vraag.

Jolanda Aalten
Jolanda Aalten

Bij de introductie van de AVG waren er nog wel eens inleners die uitzendbureaus als verwerkers van hun persoonsgegevens zagen. Waarom zagen ze dit verkeerd?

Jolanda Aalten:
Een uitzendbureau is een verwerker als deze in opdracht van de inlener persoonsgegevens verwerkt. Dat is hier in beginsel niet aan de orde. Een uitzendbureau verwerkt weliswaar persoonsgegevens van een inlener – bijvoorbeeld om hem facturen te kunnen verzenden of hem toegang tot een portal te geven – maar dat doet hij alleen als ‘bijproduct’ van zijn dienstverlening namelijk het bemiddelen van arbeidskrachten. Het verwerken van persoonsgegevens is dan dus niet het primaire doel van de overeenkomst tussen een uitzendbureau en de inlener. Het uitzendbureau is in relatie tot de inlener verwerkingsverantwoordelijke. Het uitzendbureau bepaalt namelijk zelf het doel en de middelen van de verwerking.

Is er een situatie denkbaar dat een uitzendbureau wel een verwerker voor de inlener is?

Jolanda Aalten
Dat kan het geval zijn als de inlener hem opdracht geeft om de persoonsgegevens van zijn eigen medewerkers te verwerken. Denk aan situaties waarbij een uitzendbureau ook de planning of verloning gaat doen van die medewerkers. In die situatie verwerkt het uitzendbureau betreffende persoonsgegevens alleen voor dat doel van de inlener. En dan is het uitzendbureau dus een verwerker. Ook kan het voorkomen dat een uitzendbureau verwerker wordt, bijvoorbeeld als hij bij de inlener ook de uitzendkrachten van meeleverende uitzendbureaus plant.

Je hoort ook wel eens dat er een (gezamenlijke verwerkingsverantwoordelijke) overeenkomst gesloten moet worden omdat beide partijen samen verantwoordelijk zijn. Is dat wel nodig?

Theo Spijkerman
Theo Spijkerman

Theo Spijkerman:
Het komt inderdaad voor dat beide partijen gezamenlijk de doelstelling en de middelen van de verwerking bepalen. Dit kan zijn omdat twee partijen hier gezamenlijk besluiten over nemen, maar het kan ook gaan om afzonderlijke besluiten of gedragingen die van belang zijn voor de verwerking.

Als er sprake is van een gezamenlijke verantwoordelijkheid moet er een aparte overeenkomst gesloten worden waarin deze verantwoordelijkheidsverdeling is vastgelegd. Wie informeert de betrokkenen, bij wie kan een verzoek tot inzage ingediend worden en wie handelt datalekken af of wie voert een eventueel noodzakelijk Data Privacy Impact Assessment (DPIA) uit?

Een inlener en een uitzendbureau zijn doorgaans echter zelfstandig verwerkingsverantwoordelijke. Een overeenkomst is in deze situatie niet wettelijk vereist. Voor beide partijen geldt gewoon dat ze zich aan de AVG moeten houden. Vaak wordt dat in de Algemene Voorwaarden nog eens bevestigd.

Ook hier weer de vraag: wanneer zou dit wel aan de orde zijn?

Theo Spijkerman:
Er zijn constructies waarbij uitzendbedrijven hun backoffice activiteiten (verloning/werkgeverschap) uitbesteden aan een andere organisatie. Hun gezamenlijke doel is te komen tot een plaatsing bij een inlener. Ze hebben elkaar hiervoor nodig. In dat geval lijkt het voor de hand te liggen dat ze gezamenlijk verwerkingsverantwoordelijk zijn.

Juridisch is dit onderwerp interessant. Recent besloot het Europese Hof nog dat websitebeheerders en Facebook gezamenlijk de verwerkingsverantwoordelijke zijn in het kader van een Facebook like knop op de website. Die knop zorgt er namelijk voor dat er gebruiksinformatie van de website gedeeld wordt met Facebook en dat partijen daar gezamenlijk verantwoordelijk voor zijn. Dat betekent in ieder geval dat de websitebeheerder websitebezoekers hierover moet informeren en toestemming moet vragen om gegevens met Facebook te delen.

Als een uitzendkracht in een ziekenhuis toegang krijgt tot medische gegevens, hoe moet deze situatie dan geduid worden?

Jolanda Aalten:
Zo’n uitzendkracht werkt onder het rechtstreekse gezag van het ziekenhuis (‘intern beheer’). In die situatie is er nooit sprake van een verwerkingsrelatie en is een verwerkersovereenkomst dus niet van toepassing. Hetzelfde geldt voor ZZP’ers, zolang deze maar gehouden zijn de instructies op te volgen.

Ik krijg nog regelmatig de vraag van bedrijven of het erg is dat ze geen verwerkersovereenkomst hebben gesloten. Wat vind jij?

Jolanda Aalten:
Dat is niet erg, maar wel onverstandig. Er geldt een verplichting om een verwerkersovereenkomst te sluiten. Als dat achterwege blijft kan er een boete opgelegd worden. In Europa is dat bij mijn weten pas één keer voorgevallen.

Vaak zijn het de leveranciers die een verwerkersovereenkomst aanbieden, al of niet in de vorm van een addendum op de licentie of de samenwerkingsovereenkomst. De toezichthouder wijst er op dat dit geen bezwaar is, maar dat bedrijven wel altijd moeten nagaan of deze overeenkomsten kloppen. En dat is in de praktijk natuurlijk niet altijd even makkelijk.

Wat is de essentie van de verwerkersovereenkomst?

Theo Spijkerman:
Dat je als bedrijf verantwoordelijk bent en blijft voor een veilige en juiste verwerking van persoonsgegevens door die verwerker. Dus je moet goede afspraken maken met verwerkers om deze verantwoordelijkheid waar te maken. Het belangrijkste van de overeenkomst zijn meestal de bijlages waarin beschreven wordt welke persoonsgegevens je verwerkt, wat de maatregelen zijn om hiermee vertrouwelijk en veilig om te gaan of wanneer deze verwijderd moeten worden.

Lastiger wordt het als je verwerker ook weer subverwerkers inschakelt. Ook voor die verwerkingen blijf je verantwoordelijke! Het kan dus slim zijn om af te spreken dat subverwerkers alleen ingeschakeld mogen worden met jouw toestemming. In ieder geval moet je altijd geïnformeerd worden over wijzigingen of toevoegingen.

Let tenslotte ook op waar de gegevens worden opgeslagen. Opslag buiten de EU is alleen mogelijk als er aanvullende maatregelen worden getroffen om een gelijkwaardig beschermingsniveau te garanderen als de AVG.

Als je gebruik wilt maken van een goedgekeurde verwerkersovereenkomst, dan kun je altijd gebruik maken van de door de Europese toezichthouder goedgekeurde overeenkomst.

Wat zijn voorbeelden van leveranciers met wie ik een verwerkersovereenkomst moet aangaan?

Jolanda Aalten:
Het gaat hier om bedrijven die je een opdracht geeft om persoonsgegevens te verwerken en die verplicht zijn deze voor een voorgeschreven doel van het uitzendbureau te gebruiken en nergens anders voor. Hierbij is het ook nog van belang of dat bedrijf van het verwerken van persoonsgegevens zijn bedrijf heeft gemaakt. Een voorbeeld is het uitbesteden van de salarisadministratie. Andere voorbeelden van verwerkers zijn bedrijven die jouw data opslaan (hosting) of bedrijven die cloudsoftware aanbieden (bijvoorbeeld om sollicitanten te volgen of e-mails te versturen).

En als ik persoonsgegevens deel met een andere BV in de groep die verantwoordelijk is voor de salarisverwerking?

Jolanda Aalten:
Dit zijn voor de AVG aparte entiteiten. Dat betekent ook dat de ene BV een verwerker kan zijn voor de andere BV. En dat er dus een interne verwerkersovereenkomst vereist is. Het is belangrijk dat je deze interne rollen helder hebt.

Een bedrijf gebruikt software, maar wel op zijn eigen server. Moet zo’n bedrijf een verwerkersovereenkomst sluiten met de softwareleverancier als ze alleen periodieke updates en support ontvangen?

Theo Spijkerman:
Zolang er door het bedrijf geen opdracht is gegeven om persoonsgegevens te verwerken is een verwerkersovereenkomst niet vereist. Voor het softwarebedrijf is het verwerken van persoonsgegevens bovendien niet de eigen kernactiviteit, maar slechts een bijproduct. Overigens, los van deze vraag, is het verstandig dat het softwarebedrijf zo min mogelijk (persoons)gegevens te zien krijgt. Dus lever altijd geanonimiseerde databases aan, lever geen printscreens aan of maak persoonsgegevens zwart. Is het onvermijdelijk dat de leverancier toegang of inzage heeft tot de persoonsgegevens sluit dan een geheimhoudingsovereenkomst of een non-disclosure agreement (NDA) met deze leverancier.

Wilt u meer weten over dit soort onderwerpen? De European Data Protection Board heeft er een (concept) handreiking voor geschreven.

Gerrit van Rooij, Functionaris Gegevensbescherming (FG) van HelloFlex group

Wil je ook een vraag inbrengen, laat het ons weten, via persoonsgegevens@helloflexgroup.com.

*Jolanda Aalten
Jolanda Aalten is advocaat privacyrecht en arbeidsrecht. Zo is zij als privacyrecht advocaat werkzaam geweest voor de ABU en werkt zij voor de Nationale Politie. Daarnaast is zij voor diverse organisaties, waaronder uitzendorganisaties werkzaam als Functionaris voor de Gegevensbescherming.

**Theo Spijkerman
Theo Spijkerman is al meer dan 25 jaar actief in de uitzend-, detacherings- en payrollbranche waarvan de laatste ruim 15 jaar bij The Adecco Group (AGN). Hier is hij gestart in een commerciële rol met verantwoordelijkheid voor Noord-Oost Nederland waarna hij een stap heeft gemaakt naar de landelijke functie van HR-manager flex. Sinds 2017 is Theo als Data Privacy Lead verantwoordelijk voor het privacy beleid binnen AGN.

Lees ook
AVG: AI, algoritmes en automatische besluitvorming bij recruitment
AVG en gezondheidsgegevens

Gerrit van Rooij is privacy adviseur bij Stichting AVG Garant.