Verwerkersovereenkomst sluiten verplicht?
Verwerkersovereenkomst sluiten verplicht?
Vanaf 25 mei 2018 geldt de Algemene verordening Persoonsgegevens (Avg). Deze Europese regelgeving vervangt de Wbp. Met de Avg worden privacyrechten verder versterkt en uitgebreid en krijgen organisaties meer verantwoordelijkheden als het gaat om de bescherming van persoonsgegevens. Het niet voldoen aan de regelgeving kan hoge boetes tot gevolg hebben. Veel organisaties zijn inmiddels dan ook druk doende om ‘Avg-proof’ te worden.
Een organisatie is verantwoordelijk voor bijvoorbeeld de persoonsgegevens van het personeel. Zij moet ervoor zorgen dat persoonsgegevens veilig zijn en dat datalekken zoveel mogelijk wordt voorkomen. In de salarisadministratie worden wekelijks of maandelijks persoonsgegevens verwerkt om het salaris te betalen. Indien een organisatie de salarisadministratie uitbesteedt aan een salarisadministrateur, dient de organisatie met deze salarisadministrateur een zgn. verwerkersovereenkomst te sluiten. Met deze overeenkomst worden tussen de administrateur en de organisatie afspraken gemaakt over bijvoorbeeld het doel en de manier van de verwerking van de gegevens, het veiligheidsniveau, de aansprakelijkheden en hoe te handelen als er onverhoopt een datalek ontstaat.
De vraag die wij als advocatenkantoor af en toe voorgelegd krijgen is of een advocatenkantoor met haar cliënten ook een dergelijke verwerkersovereenkomst moet sluiten. Een advocaat krijgt immers ook wel eens de beschikking over persoonsgegevens van personeelsleden van een organisatie, bijvoorbeeld in het kader van een ontslagprocedure.
Een advocaat is net als de salarisadministrateur een dienstverlener, maar geen verwerker. Een advocaat dient in de meeste gevallen zelf als verantwoordelijke te worden aangemerkt. Een advocaat verwerkt met andere woorden geen persoonsgegevens ten behoeve van de organisatie of werkgever. Ook niet in het kader van een ontslagprocedure. Een advocatenkantoor hoeft met haar cliënten dan ook geen verwerkersovereenkomst te sluiten. Een advocaat is uiteraard zelf wel wettelijk gebonden aan bijvoorbeeld geheimhouding en heeft een eigen verantwoordelijkheid als het gaat om het nemen van (veiligheids)maatregelen om vertrouwelijkheid en geheimhouding te waarborgen en de kans op datalekken te minimaliseren.
Heeft u vragen over privacy? Neem dan contact met ons op.
