Privacy - Wat niemand over je mag weten

Is in deze casus een verwerkersovereenkomst van toepassing?

23-04-2018, 10:12 door Anoniem, 8 reacties
Casus:
Bedrijf A is een IT bedrijf. Bedrijf B regelt oa pensioenregeling.

Bedrijf B regelt dus dus pensioenregeling voor de medewerkers van bedrijf A. Om die reden verzameld bedrijf A gegevens van hun personeel en zend deze door naar bedrijf B.

Nu stelt bedrijf B dat zij zelfstandig verwerkingsverantwoordelijke zijn. Bedrijf A bepaalt het doel van de verwerking, namelijk de regeling. Aan de andere kant moet de pensioenuitvoerder wel zelf de gegevens verzamelen om op een later moment pensioen uit te kunnen keren.

Is hier nu wel of geen verwerkersovereenkomst van toepassing?
Reacties (8)
23-04-2018, 15:46 door jelluh24
Officieel moet je wel een verwerkersovereenkomst sluiten met bedrijf B, omdat zij persoonsgegevens in opdracht van bedrijf A verwerken. Bedrijf A is in dit geval gewoon de verwerkingsverantwoordelijke en bedrijf B de verwerker. Overigens zal de autoriteit persoonsgegevens je waarschijnlijk geen boete geven als je dit niet doet als het om een klein bedrijf gaat.
23-04-2018, 17:04 door karma4
Een pensioenuitvoerder is vaak een zelfstandige onafhankelijke partij. Het bedrijf en/of de werknemer gaan er een overeenkomst mee aan met wettelijke verplichtingen. De pensioenuitvoerder is verplicht de persoon op bsn koppeling te controleren. Die koppeling moet ook al wettelijk door het bedrijf gebeurd zijn. Alle gegevens gaan later ook door naar de belastingdienst (wettelijk geregeld).

Een verwerkers overeenkomst met elke betrokken partij schiet veel te ver door. Je zou dan bij elke betaling elke transactie ook een verwerkers overeenkomst gaan eisen. Op een terrasje iets nuttigen zou een onmogelijkheid worden. Daar is de gdpr niet voor bedoeld.

Aangezien de pensioenuitvoerder onafhankelijk is en de werkgever geen inzicht heeft wat die pensioenuitvoerder doet en er geen gezag over heeft is er geen relatie datacontroller dataprocessor. Zonder die relatie is een verwerkers overeenkomst een zinloze vraag.
23-04-2018, 17:25 door MathFox
De werknemer sluit een pensioenovereenkomst met bedrijf B. B mag de daarvoor benodigde gegevens verwerken. A heeft nog wel een grondslag nodig om gegevens van de werknemer met B te mogen delen, uitvoering van de pensioenovereenkomst kan daarvoor de basis zijn.
23-04-2018, 17:31 door User2048
Bedrijf A verstrekt gegevens aan bedrijf B, maar bedrijf A bepaalt niet doel en middelen van de verwerking door bedrijf B. Bedrijf A en B zijn beide verantwoordelijk voor wat zij doen met de gegevens. Er hoeft geen verwerkersovereenkomst gesloten te worden.
24-04-2018, 12:29 door 5ec5ec
Door jelluh24: Officieel moet je wel een verwerkersovereenkomst sluiten met bedrijf B, omdat zij persoonsgegevens in opdracht van bedrijf A verwerken. Bedrijf A is in dit geval gewoon de verwerkingsverantwoordelijke en bedrijf B de verwerker. Overigens zal de autoriteit persoonsgegevens je waarschijnlijk geen boete geven als je dit niet doet als het om een klein bedrijf gaat.
Ik vind die laatste opmerking altijd wat gevaarlijk omdat dat koffiedik kijken is. Daarbij is het bewust overtreden van een wet omdat er waarschijnlijk niet gehandhaaft wordt niet erg solide juridisch advies.

Door User2048: Bedrijf A verstrekt gegevens aan bedrijf B, maar bedrijf A bepaalt niet doel en middelen van de verwerking door bedrijf B. Bedrijf A en B zijn beide verantwoordelijk voor wat zij doen met de gegevens. Er hoeft geen verwerkersovereenkomst gesloten te worden.
Onzin.

Bedrijf A geeft opdracht aan bedrijf B gegevens te verwerken met als doel het opzetten van een pensioensregeling. Hiermee heeft A zowel het doel (pensioensregeling) en de middelen (partij B en hun dienstverlening) bepaald. Met deze partij dient gewoon een verwerkersovereenkomst te worden overeengekomen, tenzij de wet zegt dat dat niet hoeft (bijv wettelijke verplichting etc).

In dit onderhavige geval vertrouwen werknemers hun werkgever met hun gegevens. De werkgever besluit vervolgens deze gegevens met iemand te delen t.b.v. het regelen van het pensioen. Hierbij bepaalt de werkgever wat er wel en niet met deze gegevens mag gebeuren (dienen gebruikt te worden voor pensiensregeling, en bijv. niet voor advertententiedoeleinden). Hiermee heeft bedrijf A het doel vastgesteld. Zoals reeds genoemd is het middel de dienstverlening en mogelijke producten van bedrijf B. Hierbij moeten afspraken gemaakt worden over wat wel en niet met deze gegevens mag gebeuren (doel), hoe deze beschermd worden, wat te doen bij datalek, auditbevoegdheid etc. Deze afspraken worden vastgelegd in een verwerkersovereenkomst.
24-04-2018, 12:41 door 5ec5ec - Bijgewerkt: 24-04-2018, 12:42
Door karma4: Een pensioenuitvoerder is vaak een zelfstandige onafhankelijke partij. Het bedrijf en/of de werknemer gaan er een overeenkomst mee aan met wettelijke verplichtingen. De pensioenuitvoerder is verplicht de persoon op bsn koppeling te controleren. Die koppeling moet ook al wettelijk door het bedrijf gebeurd zijn. Alle gegevens gaan later ook door naar de belastingdienst (wettelijk geregeld).
Over welke wettelijke verplichtingen heb je het hier? Je bent niet veplicht een pensioensverzekering af te sluiten, dus een wettelijke plicht voor het verwerken van de gegevens is er niet. Dat er eventueel op grond van een andere verplichting gegevens zullen moeten worden doorgespeeld aan de belastingdienst, zegt meer over de relatie tussen de pensioensverzekering en de Belastingdienst dan over de relatie tussen bedrijf A en B. Fiscale verantwoording is ook verplicht, dat betekent echter niet dat accoutantskantoren die dit voor hun klanten doen geen verwerkersovereenkomst hoeven af te sluiten met partijen die hun daar in bijstaan.

Een verwerkers overeenkomst met elke betrokken partij schiet veel te ver door. Je zou dan bij elke betaling elke transactie ook een verwerkers overeenkomst gaan eisen. Op een terrasje iets nuttigen zou een onmogelijkheid worden. Daar is de gdpr niet voor bedoeld.
Dit slaat absoluut nergens op. Een betrokkene die een drankje op het glas doet is geen verantwoordelijke en de horecaonderneming geen verwerker in deze relatie, en dáárom hoeft hier geen verwerkersovereenkomst te worden overeengekomen. Mocht de horecaonderneming andere partijen inschakelen om hun klantgegevens te verwerken, dan zal in die relatie wel een verwerkersovereenkomst moeten worden overeengekomen. Daarbij is maar de vraag in hoeverre er persoonsgegevens verlangd worden bij het nuttigen van een drankje op het terras. Dit betreft een compleet andere situatie.

Aangezien de pensioenuitvoerder onafhankelijk is en de werkgever geen inzicht heeft wat die pensioenuitvoerder doet en er geen gezag over heeft is er geen relatie datacontroller dataprocessor. Zonder die relatie is een verwerkers overeenkomst een zinloze vraag.
Juist afspraken over deze zaken kunnen worden overeengekomen in de verwerkersovereenkomst, zoals de bevoegdheid van het doen van een audit door verantwoordelijke bij verwerker. Is een vrij standaard bepaling in verwerkersovereenkomsten. Deze bepaling geeft de verantwoordelijke de mogelijkheid te controleren of de bescherming van persoonsgegevens bij verwerker wel op orde is.
24-04-2018, 13:06 door karma4
Door 5ec5ec: Over welke wettelijke verplichtingen heb je het hier? Je bent niet veplicht een pensioensverzekering af te sluiten,
Dus wel degelijk vaak verplicht: https://pensioenkijker.nl/home/voor-werkgevers/invoeren-pensioenregeling
Dat er eventueel op grond van een andere verplichting gegevens zullen moeten worden doorgespeeld aan de belastingdienst, zegt meer over de relatie tussen de pensioensverzekering en de Belastingdienst dan over de relatie tussen bedrijf A en B.Fiscale verantwoording is ook verplicht, dat betekent echter niet dat accoutantskantoren die dit voor hun klanten doen geen verwerkersovereenkomst hoeven af te sluiten met partijen die hun daar in bijstaan.
Fiscale verantwoording (XBRL) is verplicht door het bedrijf, Deze mag daarvoor opdracht met alle aansturing geven aan een aparte partij. Let op die verhouding "opdracht en aansturing" daarmee komt de verwerkersovereenkomst aan bod mits het om persoonlijke gegevens gaat. Met salarisverwerking zal je die persoonlijke gegevens hebben met jaarcijfers niet.


Dit slaat absoluut nergens op. Een betrokkene die een drankje op het glas doet is geen verantwoordelijke en de horecaonderneming geen verwerker in deze relatie, en dáárom hoeft hier geen verwerkersovereenkomst te worden overeengekomen.
Dat klopt die onzinnigheid en daarom haalde ik het ook aan. Privacy voorvechters zouden kunnen zeggen dat een drankje zeer persoonlijk is en mogelijk medische gegevens kan blootleggen. Met de betaling komen nog meer persoonlijke gegevens vrij omdat elektronisch betalen wegens btw niet te vermijden is. Daar is de GDRP niet voor bedoeld.


Juist afspraken over deze zaken kunnen worden overeengekomen in de verwerkersovereenkomst, zoals de bevoegdheid van het doen van een audit door verantwoordelijke bij verwerker. Is een vrij standaard bepaling in verwerkersovereenkomsten. Deze bepaling geeft de verantwoordelijke de mogelijkheid te controleren of de bescherming van persoonsgegevens bij verwerker wel op orde is.
Nope, Je neemt als pensioendeelnemer een dienst af net zoals met dat drankje.
Jij hebt geen controlerecht. Dat is voorbehouden aan de toezichthoudende instanties die het bedrijf de dienstverlening in de markt toestaat.
24-04-2018, 13:44 door 5ec5ec - Bijgewerkt: 24-04-2018, 13:47
Dit geldt niet overal, en is verplicht op basis van afspraken in de branche of CAO, niet op grond van de wet. Ik raad je overigens aan artikel 28 lid 3 sub a GDPR even door te lezen. Overigens is het de vraag of daar in de onderhavige situatie überhaupt sprake van is.

Fiscale verantwoording (XBRL) is verplicht door het bedrijf, Deze mag daarvoor opdracht met alle aansturing geven aan een aparte partij. Let op die verhouding "opdracht en aansturing" daarmee komt de verwerkersovereenkomst aan bod mits het om persoonlijke gegevens gaat. Met salarisverwerking zal je die persoonlijke gegevens hebben met jaarcijfers niet.
XBRL is een standaard die gehanteerd wordt als universele taal bij de fiscale verantwoording, en geen fiscale verantwoording an sich. Daarbij doelde ik meer op het doen van een belastingaangifte. Aangiften inkomstenbelasting bevatten altijd persoonsgegevens, nu deze persoonsgebonden zijn. Voor het uitvoeren van belastingaangiften kunnen accountants derde partijen inschakelen. Met deze partijen dient een VO te worden overeengekomen, ondanks dat de belastingaangifte een wettelijke verplichting is (uitzonderingen daargelaten).

Dat klopt die onzinnigheid en daarom haalde ik het ook aan. Privacy voorvechters zouden kunnen zeggen dat een drankje zeer persoonlijk is en mogelijk medische gegevens kan blootleggen. Met de betaling komen nog meer persoonlijke gegevens vrij omdat elektronisch betalen wegens btw niet te vermijden is. Daar is de GDRP niet voor bedoeld.
Je haalt iets aan wat sowieso niet onder het toepassingsbereik van de AVG valt, en derhalve niet relevant. De AVG is ook niet bedoeld om het chloorniveau in een zwembad te regelen. Daarbij is het nuttigen van een drankje op een terras relateren aan medische gegevens (wat overigens bijzondere persoonsgegevens zijn) heel vergezocht.

Nope, Je neemt als pensioendeelnemer een dienst af net zoals met dat drankje.
Jij hebt geen controlerecht. Dat is voorbehouden aan de toezichthoudende instanties die het bedrijf de dienstverlening in de markt toestaat.
Het feit dat je een dienst afneemt is niet het punt, het gaat om de hoedanigheid waarin je dit doet. Bedrijf A is niet een betrokkene, maar verantwoordelijke. Een verwerkersovereenkomst is eigenlijk nietsanders dan het goed regelen van onderaanneming waar persoonsgegevens mee gemoeid zijn. Er is geen sprake van onderaanneming tussen een gast op een terrasje en het cafe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.