Verwerker = Lightversie van verwerkings­verantwoordelijke

Eerder berichtten wij over het feit dat de NBA in gezamenlijkheid met RB, Novak, NOB en het NIRPA nader in overleg met de Autoriteit persoonsgegevens is geweest over de rol van de accountant, belastingadviseur en salarisadministrateur in het kader van de verwerking van persoonsgegevens. 

Kort gezegd, het is duidelijk dat de rol van deze dienstverleners grotendeels een verwerkingsverantwoordelijke is, in plaats van een verwerker. Toch hebben veel accountantskantoren, met name voor de salarisadministratie, een verwerkersovereenkomst afgesloten.

Wat zijn hiervan eigenlijk de gevolgen?

De AVG is simpel. Als je geen verwerker bent, ben je verwerkingsverantwoordelijke. De verwerker is eigenlijk de light versie van de verwerkingsverantwoordelijke. Het meerdere mag altijd, maar andersom niet. Dit heeft tot gevolg dat wanneer je je dan als verwerker gedraagt, en je bent eigenlijk verwerkingsverantwoordelijke, je dus niet volgens de regels van de AVG werkt. Daarbij komt, dat een verwerkersovereenkomst zoveel andere verplichtingen kent ten opzichte van de opdrachtgever dan in een normaal geval, een kantoor zich dus eigenlijk heeft onderworpen aan afspraken die verdergaand zijn dan strikt noodzakelijk. Denk bijvoorbeeld aan de controlebevoegdheid van de opdrachtgever.

Reden genoeg om enerzijds de verwerkersovereenkomst ter zijde te schuiven of aan te passen, maar ook nadere nieuwe afspraken te maken. Het is namelijk niet zo dat wanneer je beide verwerkingsverantwoordelijke bent voor dezelfde set persoonsgegevens, je niets meer hoeft te doen. Je verwerkt immers nog steeds persoonsgegevens, doorgaans verkregen van een andere verwerkingsverantwoordelijke. De twee verwerkingsverantwoordelijken, lees, het kantoor en de opdrachtgever, zullen afspraken moeten maken wie wat doet in geval van bijvoorbeeld  een datalek of over de verplichtingen ten opzichte van de betrokkenen.

Als we bijvoorbeeld kijken naar de salarisadministrateur. Aangenomen kan worden dat deze grotendeels dus toch verwerkersverantwoordelijk is. Hij krijgt de persoonsgegevens van de werknemers van de werkgevers. Een salarisadministrateur heeft in principe zijn eigen verantwoordelijkheid ten opzichte van de werknemers. Denkbaar is dat de salarisadministrateur zich niet direct in verbinding stelt met de werknemers van de werkgever. Werkgever en de salarisadministrateur zullen bijvoorbeeld in dit geval moeten afspreken dat de werkgever zijn werknemers informeert dat de salarisadministrateur de gegevens van de werknemers verwerkt. Dat moet de werkgever sowieso doen. Dit gebeurt doorgaans in een reglement of in de arbeidsovereenkomst. De afspraken tussen salarisadministrateur en werkgever kunnen in een aparte overeenkomst worden opgenomen, maar ook in opdrachtbevestigingen, algemene voorwaarden etc.

Binnenkort zullen wij voorbeeldpassages ter beschikking stellen voor opdrachtbevestigingen en algemene voorwaarden.

In deze nieuwsbrief wordt ook een voorzet gegeven hoe de verwerkersovereenkomst aangepast kan worden. Tevens is een checklist opgenomen die u kunt gebruiken om de diverse documenten en overeenkomst aan te passen.