Update AVG: verwerkersovereenkomst en delen persoonsgegevens

Vanaf 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp). U leest hier twee belangrijke gevolgen. Om te beginnen: moet ik als werkgever, na inwerkingtreding van de AVG, een verwerkersovereenkomst afsluiten met BPF Schoonmaak? Antwoord: Nee, dat hoeft u niet.

Een korte toelichting

Ook op grond van de Wet bescherming persoonsgegevens (Wbp) moest de uitbesteding van de verwerking van persoonsgegevens aan derden (bewerkers) schriftelijk worden vastgelegd. De vastgelegde afspraken worden gezamenlijk ‘bewerkersovereenkomst’ genoemd. Hoewel werkgevers (persoons)gegevens aanleveren bij BPF Schoonmaak, hoefden deze partijen geen bewerkersovereenkomst met elkaar af te sluiten. De Algemene verordening gegevensbescherming (AVG) verandert hier niks aan. Alleen de namen wijzigen: bewerker wordt verwerker en bewerkersovereenkomst wordt verwerkersovereenkomst.

De drie betrokken partijen

Werkgever
Volgens de AVG is de werkgever in dit geval geen ‘verantwoordelijke’. De werkgever is namelijk niet degene die het doel van de verwerking van persoonsgegevens vaststelt en ook de benodigde middelen worden niet door werkgevers bepaald.
 
BPF Schoonmaak
De ‘verantwoordelijke’ is BPF Schoonmaak. Het pensioenfonds is immers verantwoordelijk voor het uitvoeren van de pensioenregeling. BPF Schoonmaak is echter niet de ‘verwerker’; ze verwerken namelijk geen gegevens, ook niet voor de werkgever.
 
APG
De ‘verwerker’ is de pensioenuitvoeringsorganisatie, APG in dit geval. 
 
Conclusie: Gezien de rollen van de drie genoemde partijen zijn de werkgever en BPF Schoonmaak niet verplicht om een verwerkersovereenkomst met elkaar af te sluiten. BPF Schoonmaak en APG zijn dat wel.

Zorgvuldig omgaan met persoonsgegevens

Wij vinden uw privacy en die van uw werknemers belangrijk. Daarom gaan wij zorgvuldig met gegevens om. Dit brengt met zich mee dat wij bepaalde pensioengegevens alleen met toestemming van de werknemer met u kunnen delen.

Toelichting

Door het ingaan van de Algemene Verordening Gegevensbescherming (AVG) zijn de regels voor het delen van persoonsgegevens verscherpt. Dit betekent dat wij als pensioenfonds nog zorgvuldiger met de persoonsgegevens van uw werknemers omgaan. Wij delen dan ook geen persoonlijke gegevens van uw werknemers die niet al bij u als werkgever bekend zijn. Een voorbeeld hiervan is het arbeidsverleden en de pensioenopbouw van uw werknemers.

11-07-2018