Niet altijd verwerkersovereenkomst nodig met externe salarisverwerker

0 Flares 0 Flares ×

10 oktober 2019

De nieuwe privacywetgeving (“AVG”) maakt een onderscheid tussen twee rollen, namelijk de rol van verwerkingsverantwoordelijke en de rol van verwerker. De verwerkingsverantwoordelijke bepaalt hoe en waarom persoonsgegevens worden verwerkt en zal moeten voldoen aan alle vereisten van de privacywetgeving. Een verwerker heeft minder verplichtingen op grond van de AVG. Als een dienstverlener wordt ingeschakeld dan rijst de vraag of deze dienstverlener een verwerker is of een verwerkingsverantwoordelijke. Als de dienstverlener een verwerker is dan moeten partijen op grond van de AVG een verwerkersovereenkomst afsluiten. De verwerker verwerkt persoonsgegevens in opdracht van een verwerkingsverantwoordelijke. Een verwerker heeft geen eigen doel voor de verwerking van de persoonsgegevens buiten het uitvoeren van de dienstverlening voor de verwerkingsverantwoordelijke.

Het voeren van de salarisadministratie wordt vaak als voorbeeld genoemd van werkzaamheden waarbij de zakelijke dienstverlener optreedt als verwerker. Uit een recente toelichting die is opgesteld in samenwerking met de Autoriteit Persoonsgegevens blijkt dat dit uitgangspunt niet altijd juist is. Er moet onderscheid worden gemaakt tussen twee vormen van salarisverwerking:

  • “Kale” loonverwerking

Bij het uitvoeren van de “kale” loonverwerking stelt de zakelijke dienstverlener uitsluitend de IT infrastructuur (loonpakket) ter beschikking aan zijn klant en/of voert de zakelijke dienstverlener uitsluitend de aangeleverde gegevens in in het loonpakket zonder daarbij aanvullende controle of advieswerkzaamheden te verrichten.

  • Uitgebreidere dienstverlening

Bij deze vorm van dienstverlening wordt niet alleen de IT infrastructuur ter beschikking gesteld aan de klant maar voert de zakelijke dienstverlener ook controle en advieswerkzaamheden uit, zoals advisering ten aanzien van de inrichting van de loonadministratie, het beoordelen en waar nodig corrigeren van de aangeleverde gegevens en het toetsen of wordt voldaan aan wet- en regelgeving (fiscale regelgeving, cao’s etc).

De tweede vorm is vaak de variant die door zakelijke dienstverleners wordt uitgevoerd.

In geval van “kale” loonverwerking treedt de zakelijke dienstverlener op als verwerker aangezien hij in opdracht en ten behoeve van de klant, overeenkomstig de instructies van de klant, persoonsgegevens verwerkt. De opdracht is primair gericht op het verwerken van persoonsgegevens.

Bij het uitvoeren van de uitgebreidere dienstverlening treedt de zakelijke dienstverlener op als verwerkingsverantwoordelijke. Bij het uitvoeren van de salarisverwerkingsopdracht beoordeelt de zakelijke dienstverlener bepaalde zaken zelfstandig (bijvoorbeeld of de ingevoerde gegevens voldoen aan wet en regelgeving) en bepaalt hij of aanvullende werkzaamheden dienen te worden uitgevoerd. De dienstverlening is niet primair gericht op het verwerken van persoonsgegevens en de zakelijke dienstverlener bepaalt het doel en de middelen voor de verwerking van de persoonsgegevens.

Het is dus zaak om de van een externe salarisverwerker ontvangen verwerkersovereenkomst niet klakkeloos te ondertekenen. Het is niet altijd nodig om een dergelijke overeenkomst met de salarisverwerker aan te gaan.

0 Flares Twitter 0 Facebook 0 LinkedIn 0 0 Flares ×