Over Privacy en verwerkersovereenkomst

Verwerkersovereenkomst niet nodig bij advies werknemersvoorzieningen en –regelingen.

De AVG[1] kent verschillende rollen die je kunt vervullen als je persoonsgegevens verwerkt. Belangrijkste zijn de verwerkingsverantwoordelijke en verwerker. Afhankelijk van de rol die iemand vervult kan worden vastgesteld of het nodig is een verwerkersovereenkomst aan te gaan.

Als werkgever hoeft u geen verwerkersovereenkomst te sluiten wanneer u MKBpensioenadvies.nl inschakelt voor het treffen van regelingen ten aanzien van werknemers (i.v.m. pensioen, arbeidsongeschiktheid, verzuim). Weliswaar verstrekt u hiervoor persoonsgegevens van medewerkers aan MKBpensioenadvies.nl, maar daarmee zijn wij nog geen ‘Verwerker’ in de zin van de wet.

Dit blijkt uit de AVG en de uitleg die het ministerie van Justitie en Veiligheid[2] hier aan geeft. Het enkele feit dat een derde partij in opdracht van een werkgever werknemersgegevens verwerkt, maakt hem nog niet tot een ‘Verwerker’. Een derde partij kan op grond van de privacyregelgeving namelijk ook de positie van een ‘Verwerkingsverantwoordelijke’ hebben. Dit is het geval als het verwerken van de gegevens van de werknemers geen primaire opdracht is ten behoeve van de werkgever, maar logischerwijs voortvloeit uit van een vorm van dienstverlening die de derde partij aanbiedt. Deze situatie doet zich voor bij de dienstverlening van een financieel adviseur aan de werkgever bij het adviseren en bemiddelen bij regelingen voor werknemers. Het Verbond van Verzekeraars en brancheorganisatie Adfiz onderschrijven deze conclusie in een verklaring.

Als verwerkingsverantwoordelijke bepalen we het doel (bijv. geven van advies of beheer van een pensioenregeling) en de middelen (e-mail, applicaties, website etc.) van de gegevensverwerking en zijn we zelfstandig verantwoordelijk voor een privacy beleid. Vanzelfsprekend nemen we deze verantwoordelijkheid serieus en gaan we zorgvuldig om met de verkregen persoonsgegevens en handelen we in overeenstemming met de nieuwe privacy wetgeving. In onze Privacy-verklaring kunt u nalezen hoe wij hier als NLPensioen invulling aan geven.

Privacydossier

Een werkgever moet kunnen verantwoorden dat hij aan de AVG voldoet. Een heldere verklaring die de werkgever in zijn privacydossier kan bewaren, kan daarbij helpen. Daarvoor kan de werkgever het statement van Adfiz gebruiken. Zo voorkomt hij dat hij onnodig de verantwoordelijkheid voor het gegevensbeleid van zijn financieel adviseur naar zich toe trekt, vooral ook omdat dit onnodige lasten zou introduceren.

[1] Algemene Verordening Gegevensbescherming, art. 4.7 en 4.8, pag. 33
[2] Handleiding Algemene Verordening Gegevensbescherming, Ministerie Justitie en Veiligheid, pag. 33.

Scroll naar top