AVG: wel of geen verwerkersovereenkomst?

Moet ik als werkgever, na inwerkingtreding van de AVG, een verwerkersovereenkomst afsluiten met bpfBOUW? Antwoord: Nee, dat hoeft u niet.

Een korte toelichting

Vanaf 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp).

Ook op grond van de Wbp moest de uitbesteding van de verwerking van persoonsgegevens aan derden (bewerkers) schriftelijk worden vastgelegd. De vastgelegde afspraken werden gezamenlijk ‘bewerkersovereenkomst’ genoemd. Hoewel werkgevers (persoons)gegevens aanleveren bij bpfBOUW, hoefden deze partijen echter geen bewerkersovereenkomst met elkaar af te sluiten.

De Algemene verordening gegevensbescherming (AVG) verandert hier niks aan. Alleen de namen wijzigen: bewerker wordt verwerker en bewerkersovereenkomst wordt verwerkersovereenkomst.

De drie betrokken partijen

Werkgever
Volgens de AVG is de werkgever in dit geval geen ‘verantwoordelijke’. De werkgever is namelijk niet degene die het doel van de verwerking van persoonsgegevens vaststelt en ook de benodigde middelen worden niet door werkgevers bepaald.
 
BpfBOUW
De ‘verantwoordelijke’ is bpfBOUW. Het pensioenfonds is immers verantwoordelijk voor het uitvoeren van de pensioenregeling. bpfBOUW is echter niet de ‘verwerker’; ze verwerken namelijk geen gegevens, ook niet voor de werkgever.
 
APG
De ‘verwerker’ is de pensioenuitvoeringsorganisatie, APG in dit geval. 

Conclusie: wel of niet een verwerkersovereenkomst?

Gezien de rollen van de drie genoemde partijen zijn de werkgever en bpfBOUW niet verplicht om een verwerkersovereenkomst met elkaar af te sluiten. BpfBOUW en APG zijn dat wel.

25-05-2018