Ja, een back-officepartner mag jouw data inzien, maar alleen onder strikte voorwaarden. Omdat een back-officepartner persoonsgegevens verwerkt namens jouw organisatie, valt deze samenwerking onder de Algemene verordening gegevensbescherming (AVG). Dat betekent dat je als uitzendbureau de verwerkingsverantwoordelijke blijft en dat de back-officepartner optreedt als verwerker. Een verwerkersovereenkomst is daarbij verplicht.
Zonder verwerkersovereenkomst loop je als uitzendbureau direct AVG-risico
Veel uitzendbureaus werken al samen met een back-officepartner voor uitzendbureaus voordat ze de juridische kant goed hebben geregeld. Dat klinkt praktisch, maar het is een concreet risico. Zonder verwerkersovereenkomst verwerk je persoonsgegevens van kandidaten en medewerkers buiten de kaders van de AVG. Bij een datalek of een inspectie door de Autoriteit Persoonsgegevens ben jij als verwerkingsverantwoordelijke aansprakelijk, ook als de fout bij de back-officepartner ligt. De oplossing is eenvoudig: sluit altijd een verwerkersovereenkomst af voordat je gegevens deelt, en controleer of de back-officepartner aantoonbaar voldoet aan de AVG-vereisten.
Onduidelijkheid over welke data je deelt, vergroot de kans op datalekken
Uitzendbureaus delen vaak meer gegevens dan strikt noodzakelijk is, simpelweg omdat er geen duidelijke afspraken zijn over welke informatie de back-officepartner nodig heeft. Dat vergroot de kans op datalekken en maakt het moeilijker om te controleren wat er met de gegevens van jouw kandidaten en medewerkers gebeurt. Het AVG-principe van dataminimalisatie schrijft voor dat je alleen de gegevens deelt die echt nodig zijn voor de uitvoering van de dienst. Breng daarom vooraf in kaart welke gegevens je deelt, met welk doel, en leg dat vast in de verwerkersovereenkomst.
Wat betekent het dat een back-officepartner je data inziet?
Een back-officepartner ziet jouw data in omdat die nodig is om administratieve taken uit te voeren. Denk aan salarisverwerking, contractbeheer en urenregistratie. De back-officepartner verwerkt deze gegevens namens jou, maar jij blijft als uitzendbureau de verwerkingsverantwoordelijke. De back-officepartner mag de data alleen gebruiken voor de overeengekomen doeleinden.
In de praktijk betekent dit dat de back-officepartner toegang heeft tot persoonsgegevens van jouw kandidaten en medewerkers, zoals namen, adressen, BSN-nummers, loongegevens en contractinformatie. Zonder die toegang kan de partner de administratie simpelweg niet uitvoeren.
Wat het ook betekent: jij behoudt de regie. De back-officepartner handelt in jouw opdracht en mag de gegevens niet voor eigen doeleinden gebruiken, niet doorverkopen en niet langer bewaren dan noodzakelijk. Dat is geen vertrouwenskwestie, maar een juridische verplichting die je vastlegt in een verwerkersovereenkomst.
Mag een back-officepartner persoonsgegevens verwerken volgens de AVG?
Ja, een back-officepartner mag persoonsgegevens verwerken, maar alleen als verwerker in opdracht van jou als verwerkingsverantwoordelijke. De AVG vereist dat je hiervoor een verwerkersovereenkomst sluit. Daarin leg je vast welke gegevens worden verwerkt, voor welk doel, hoe lang, en hoe de beveiliging is geregeld.
De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Als uitzendbureau bepaal jij het doel en de middelen van de gegevensverwerking. De back-officepartner voert uit. Dat onderscheid is belangrijk, want het bepaalt wie aansprakelijk is bij een datalek of een overtreding.
Een back-officepartner die ook subverwerkers inschakelt, bijvoorbeeld een salarissoftwareleverancier, moet jou daarover informeren en ook met die partijen een verwerkersovereenkomst hebben. Transparantie in de keten is een AVG-vereiste, geen optie.
Welke gegevens deelt een uitzendbureau met de backoffice?
Een uitzendbureau deelt met de back-officepartner alle gegevens die nodig zijn voor de administratieve uitvoering van het uitzenden. Dat zijn onder meer persoonsgegevens van kandidaten en medewerkers, loon- en contractgegevens, urenregistraties en verzuimgegevens. Welke gegevens precies worden gedeeld, hangt af van de diensten die de back-officepartner uitvoert.
Concreet gaat het vaak om de volgende categorieën:
- Identificatiegegevens: naam, adres, geboortedatum, BSN-nummer
- Contractgegevens: functie, arbeidsvoorwaarden, cao-indeling, contractduur
- Loongegevens: uurloon, toeslagen, vakantiegeld, inhoudingen
- Urenregistratie: gewerkte uren per week, overuren, verlof
- Verzuimgegevens: ziekmeldingen, re-integratietrajecten
- Bankgegevens: rekeningnummer voor salarisbetaling
Het AVG-principe van dataminimalisatie schrijft voor dat je alleen de gegevens deelt die de back-officepartner echt nodig heeft. Deel je meer dan noodzakelijk, dan vergroot je onnodig het risico bij een datalek.
Hoe zorgt een back-officepartner voor veilige gegevensverwerking?
Een back-officepartner zorgt voor veilige gegevensverwerking door technische en organisatorische maatregelen te treffen die passen bij het risico van de verwerking. Denk aan versleutelde opslag, toegangsbeveiliging, verwerkersovereenkomsten met subverwerkers en een duidelijk protocol bij datalekken. Deze maatregelen moeten aantoonbaar zijn.
Technische maatregelen zijn onder meer:
- Versleuteling van gegevens in opslag en tijdens overdracht
- Toegangsbeveiliging met sterke wachtwoorden en tweefactorauthenticatie
- Beperkte toegangsrechten op basis van functie (need-to-knowprincipe)
- Regelmatige back-ups en herstelprotocollen
Organisatorische maatregelen zijn onder meer:
- Een intern privacybeleid en bewustwording bij medewerkers
- Een procedure voor het melden van datalekken aan jou als verwerkingsverantwoordelijke
- Verwerkersovereenkomsten met alle subverwerkers
- Periodieke controle op naleving van de AVG
Als uitzendbureau heb je het recht om te controleren of de back-officepartner deze maatregelen daadwerkelijk toepast. Vraag naar een verwerkingsregister, een privacybeleid of een recente beveiligingsaudit.
Wat zijn de risico’s als een back-officepartner onzorgvuldig omgaat met data?
Als een back-officepartner onzorgvuldig omgaat met data, loop jij als uitzendbureau het risico op AVG-boetes, reputatieschade en aansprakelijkheid bij datalekken. Jij blijft als verwerkingsverantwoordelijke verantwoordelijk, ook als de fout bij de back-officepartner ligt. De Autoriteit Persoonsgegevens kan jou aanspreken, niet alleen de partner.
Concrete risico’s zijn:
- Datalekken: persoonsgegevens van kandidaten of medewerkers komen bij onbevoegden terecht
- AVG-boetes: de Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet
- Reputatieschade: kandidaten en opdrachtgevers verliezen vertrouwen in jouw organisatie
- Juridische aansprakelijkheid: gedupeerde personen kunnen schadevergoeding eisen
Het risico verkleinen doe je door vooraf goede afspraken te maken, een verwerkersovereenkomst te sluiten en periodiek te controleren of de back-officepartner zijn verplichtingen nakomt. Vertrouwen is goed, maar verificatie is beter.
Waar moet een verwerkersovereenkomst met een back-officepartner aan voldoen?
Een verwerkersovereenkomst met een back-officepartner moet voldoen aan de eisen van artikel 28 van de AVG. Daarin leg je vast welke persoonsgegevens worden verwerkt, voor welk doel, hoe lang, welke beveiligingsmaatregelen gelden en hoe wordt omgegaan met datalekken en verzoeken van betrokkenen.
Een geldige verwerkersovereenkomst bevat minimaal de volgende elementen:
- Omschrijving van de verwerking: welke gegevens, van wie, voor welk doel en hoe lang
- Beveiligingsmaatregelen: welke technische en organisatorische maatregelen de back-officepartner treft
- Geheimhouding: medewerkers van de back-officepartner zijn verplicht tot geheimhouding
- Subverwerkers: de back-officepartner informeert jou over subverwerkers en sluit ook met hen een verwerkersovereenkomst
- Rechten van betrokkenen: hoe de back-officepartner omgaat met inzageverzoeken, correctieverzoeken en verwijderingsverzoeken
- Datalekken: de back-officepartner meldt een datalek zo snel mogelijk aan jou, zodat jij het binnen 72 uur kunt melden bij de Autoriteit Persoonsgegevens
- Teruggave of vernietiging van data: wat er na afloop van de samenwerking met de gegevens gebeurt
Controleer ook of de back-officepartner gegevens buiten de Europese Economische Ruimte verwerkt. Dat is alleen toegestaan als er aanvullende waarborgen zijn, zoals standaardcontractbepalingen van de Europese Commissie.
Hoe wij omgaan met jouw data
Als back-officepartner voor uitzendbureaus in Nederland verwerken wij dagelijks persoonsgegevens van kandidaten en medewerkers. We begrijpen dat jij als uitzendbureau de verwerkingsverantwoordelijke bent en dat wij die verantwoordelijkheid serieus nemen. Onze aanpak is concreet:
- We sluiten altijd een verwerkersovereenkomst af die voldoet aan de AVG-vereisten
- We werken met beveiligde systemen en beperkte toegangsrechten
- We informeren je over de subverwerkers die wij inschakelen, zoals onze salarissoftware
- We hebben een duidelijk protocol voor datalekken, zodat jij altijd binnen de wettelijke termijn kunt melden
- We bewaren gegevens niet langer dan noodzakelijk en verwijderen of retourneren ze na afloop van de samenwerking
Wil je weten hoe wij jouw backoffice volledig en AVG-conform kunnen overnemen? Neem contact met ons op en we bespreken samen wat dat voor jouw uitzendbureau betekent. Of vraag direct een vrijblijvende offerte aan voor jouw uitzendbureau en ontdek wat wij voor jou kunnen betekenen. Meer weten over wie wij zijn? Lees dan meer op onze pagina over ons bedrijf en aanpak.