Contact
favicon

U en uw relaties zijn ongetwijfeld de afgelopen tijd meerdere keren met de (aangescherpte) verantwoordingsplicht vanuit de AVG (Algemene Verordening Gegevensverwerking) geconfronteerd. EBEX hecht uiteraard waarde aan de beveiliging van privacy gevoelige informatie van u en uw relaties. Wij hebben veel tijd geïnvesteerd in een nadere analyse van onze processen en rol, zodat wij ook aan de nieuw beleidsregels van de Autoriteit Persoonsgegevens (AP) voldoen.

Analyse rolverdeling

Hierbij hebben wij bijzondere aandacht geschonken aan de onderlinge rolverdeling tussen EBEX, uw organisatie en de verschillende providers en ketenpartners. Inzicht in de rolverdeling binnen de diverse samenwerkingsrelaties is essentieel, want de AVG legt de belangrijkste verplichtingen bij de verwerkingsverantwoordelijke neer. Bovendien is het ook de verwerkingsverantwoordelijke die door de Autoriteit Persoonsgegevens gecontroleerd en indien nodig gesanctioneerd wordt. Pas na het benoemen van de verschillende rollen kan worden vastgesteld hoe verschillende partijen zich tot elkaar verhouden en of er een verwerkingsrelatie aanwezig is.  

De rollen zijn het best te onderscheiden door te onderzoeken wie het “hoe” en “waarom” van de gegevensverwerking bepaalt, waarbij vooral de feitelijke situatie leidend is. De officiële lezing luidt: degene die het doel en de middelen van de verwerking bepaalt is verwerkingsverantwoordelijke. Bovendien geldt dat het College bescherming persoonsgegevens en de Autoriteit Persoonsgegevens verzuimbedrijven in eerdere onderzoeken verwerkingsverantwoordelijk hebben geacht.

Geen verwerkingsrelatie tussen uw organisatie en EBEX

Wij hebben vastgesteld dat EBEX verwerkingsverantwoordelijke is met betrekking tot de diensten die we voor u en uw relaties verrichten in het kader van de uitvoering van verzuimbegeleiding, eigenrisicodragerschap ZW, de uitvoering van de WGA, onze dienstverlening t.a.v. bezwaar en beroep, arbeidsdeskundig onderzoek en dossieranalyse.

EBEX bepaalt vanuit haar eigen professionalisme, specialisme en organisatiedoelstellingen op welke wijze de verschillende (gegevensverwerkende) processen worden ingeregeld, kiest bepaalde (verzuim)vastlegging en geeft haar relaties waar nodig instructies op welke wijze met bepaalde gegevens moet worden omgegaan.

Uw organisatie verstrekt gegevens aan EBEX vanuit een samenwerkingsverband dat u bent aangegaan in het kader van uw rol als adviseur, (ex)werkgever en/ of eigenrisicodrager en/of ZW en/of WGA. Informatieverstrekking van uw organisatie aan EBEX geschiedt om een opdracht te geven aan EBEX of om uitvoering van specialistische werkzaamheden door EBEX mogelijk te maken c.q. te ondersteunen bij het bemiddelen en tot stand komen van inkomensverzekeringen.

U bent zelf verantwoordelijk voor de gegevensverwerking en administratie die u verricht vanuit uw rol.

Geen verwerkingsovereenkomst aan de orde

Dit betekent dat de gegevensuitwisseling tussen onze organisaties kan worden geduid als een gegevensuitwisseling tussen twee afzonderlijke verwerkingsverantwoordelijken, waarbij geen sprake is van een verwerkingsrelatie. Het inregelen van een verwerkingsovereenkomst is dan ook niet aan de orde, wat betekent dat wij de (al dan niet al voorgelegde) verwerkersovereenkomst niet hoeven/zullen ondertekenen.  

Uw organisatie is wel zelf verantwoordelijk voor het juist overdragen van gegevens vanuit haar rol en dient er dus zelf voor de te zorgen dat niet meer gegevens aan EBEX worden verstrekt dan toegestaan. Dit betekent ook dat u gegevens op een veilige manier overdraagt. 

Uitzonderingssituaties

In sommige gevallen kan de feitelijke samenwerking dusdanige vormen aannemen dat wel sprake is van een verwerkingsrelatie, of juist van gezamenlijke verantwoordelijkheid. EBEX signaleert dergelijke situaties proactief en zal met u in overleg treden om AVG-conforme afspraken met u te maken.

Disclaimer

Wij menen onze stellingname te kunnen onderbouwen met zorgvuldig eigen onderzoek en motivatie, mede door de inschakeling van een jurist. Een bindend oordeel over de rolverdeling is echter voorbehouden aan de Autoriteit Persoonsgegevens, mocht deze besluiten om zich over onze gegevensverwerkende processen te buigen.

Daarnaast achten wij de huidige juridische kaders nog erg voor interpretatie vatbaar, waarmee wij niet kunnen uitsluiten dat onze visie op de rolverdeling in de toekomst moet worden bijgesteld, bijvoorbeeld door een nader standpunt van de Autoriteit Persoonsgegevens. In dat geval zullen wij er samen met u voor zorgen dat de naleving van de regelgeving in onze samenwerkingsrelatie blijft geborgd.  

We hopen u hiermee voldoende te hebben geïnformeerd. We zijn ons ervan bewust dat bovenstaande vragen bij u kan oproepen of dat u behoefte heeft aan overleg. Wij houden ons beschikbaar om uw vragen zo goed mogelijk te beantwoorden.

 

Mocht een EBEX relatie vragen stellen over de rolverdeling, kunt u deze argumentatie gebruiken.

243