AVG: wel of geen verwerkersovereenkomst?

Moet ik als werkgever, na inwerkingtreding van de AVG, een verwerkersovereenkomst afsluiten met ABP? Antwoord: Nee, dat hoeft u niet.

Een korte toelichting

Op grond van de Wet bescherming persoonsgegevens (Wbp) moet de uitbesteding van de verwerking van persoonsgegevens aan derden (bewerkers) schriftelijk worden vastgelegd. De vastgelegde afspraken worden gezamenlijk ‘bewerkersovereenkomst’ genoemd. Hoewel werkgevers (persoons)gegevens aanleveren bij ABP, hoeven deze partijen geen bewerkersovereenkomst met elkaar af te sluiten. De Algemene verordening gegevensbescherming (AVG) verandert hier niks aan. Alleen de namen wijzigen: bewerker wordt verwerker en bewerkersovereenkomst wordt verwerkersovereenkomst.

De drie betrokken partijen

Werkgever
Volgens de AVG is de werkgever in dit geval geen ‘verantwoordelijke’. De werkgever is namelijk niet degene die het doel van de verwerking van persoonsgegevens vaststelt en ook de benodigde middelen worden niet door werkgevers bepaald.
 
ABP
De ‘verantwoordelijke’ is ABP. Het pensioenfonds is immers verantwoordelijk voor het uitvoeren van de pensioenregeling. ABP is echter niet de ‘verwerker’; ze verwerken namelijk geen gegevens, ook niet voor de werkgever. 
 
APG
De ‘verwerker’ is de pensioenuitvoeringsorganisatie, APG in dit geval. 

Conclusie: wel of niet een verwerkersovereenkomst?

Gezien de rollen van de drie genoemde partijen zijn de werkgever en ABP niet verplicht om een verwerkersovereenkomst met elkaar af te sluiten. ABP en APG zijn dat wel.

25-05-2018