Baas geeft persooninfo aan externe partij (online Rooster)

Geen idee wat dat systeem kan? Is het ook een soort salarisadministratie? Dan lijkt me het wel relevant.... Maar voor een simpel rooster systeem lijkt het me wat overkill.

Van je werkgever wordt verwacht dat hij transparant is in wat hij met je gegevens doet.

Deze gegevens zal hij verwerken met als basis "uitvoeing van een contract" - namelijk jouw arbeidsovereenkomst. Deze urenregistratie SAAS oplossing is een onderdel van exact en daarin hebben ze mogelijk ook de financiele- en salarisadministratie zitten.

dat exact daarvoor verwerkers gebruikt in het buitenland kan en mag onder best strenge voorwaarden die ik in dit geval niet kan beoordelen.

BazenKruistocht schreef op donderdag 18 april 2024 @ 16:42:


kan ik hier wat mee? ik vind dit toch wel een schending van mijn privacy

Om je als verwerkingsverantwoordelijke op deze rechtsgrond te kunnen beroepen moet je nagaan of de volgende 3 voorwaarden cumulatief vervuld zijn:

jij als verwerkingsverantwoordelijke of een derde aan wie gegevens worden verstrekt, streven een gerechtvaardigd belang na;
de verwerking van persoonsgegevens is noodzakelijk voor de realisatie van dit gerechtvaardigd belang;
de fundamentele rechten en vrijheden van de betrokkene prevaleren niet.

https://www.gegevensbesch...en/gerechtvaardigd-belang


natuurlijk kun je verder je ontslag indienen, als je werkelijk grote onoverkomelijke problemen ermee hebt dat je persoonsgegevens verwerkt worden om gewerkte uren te regsitreren en je salaris uit te betalen.

Jouw werkgever is verwerkingsverantwoordelijke en heeft een verwerker in de arm genomen. Daarvoor heeft je werkgever niet jouw toestemming nodig. Je werkgever _mag_ deze gegevens (afgaande op wat je schrijft) verwerken, voor de uitvoering van de arbeidsovereenkomst (b-grond). Dan de internationale doorgifte naar de VS: je kunt kijken of de ontvangende partij is aangesloten bij het Data Privacy Framework. Zo ja, dan kan de doorgifte op basis daarvan plaatsvinden.

Overigens heeft je werkgever wel bepaalde transparantieverplichtingen; zie daarvoor de artikelen 12 tot en met 14 van de AVG.

@RM-rf Ik denk dat je op de grondslag "gerechtvaardigd belang" doelt (F-grond) maar die is hier niet van toepassing. Daarnaast is een verwerker geen derde (zie artikel 4, definitie van "derde").

[ Voor 13% gewijzigd door Thijsmans op 18-04-2024 17:05 ]

nu blijkt ook nog dat dit bedrijf alles opslaat op amerikaanse servers.

Waaruit blijkt dit dan?

quote: https://horeko.com/nl/avg/

Verwerker zal de persoonsgegevens enkel (laten) verwerken in landen binnen de Europese Economische Ruimte (EER). Doorgifte naar andere landen is alleen toegestaan na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke en conform de toepasselijke wet- en regelgeving.

*knip* graag constructief reageren

[ Voor 89% gewijzigd door ZieMaar! op 19-04-2024 09:00 ]

*knip* oorspronkelijke reactie verwijderd

[ Voor 91% gewijzigd door ZieMaar! op 19-04-2024 09:01 ]

eric.1 schreef op donderdag 18 april 2024 @ 17:06:
[...]

Waaruit blijkt dit dan?


[...]

D'r staat ook in dezelfde verklaring dat in uitzonderlijke gevallen er niet geanomisieerde data buiten de EER (Macedonie) verplaatst wordt naar hun development team.

Ik zou daar in elk geval wel even over doorvragen...

Ik zie hier (op dat Macedonie-puntje na, maar ook daar lijkt over nagedacht over model clauses) helemaal niets vreemds eigenlijk. Overleg met elke medewerker voor zoiets zou ook heel vreemd zijn. Waar zie je concrete problemen?

Wel zou je de werkgever kunnen vragen of er netjes een DPIA is uitgevoerd waar ook de Macedonië-route in is geadresseerd. Maar verder; in dit geval niet druk over maken tenzij je concrete problemen voorziet.

Question Mark schreef op donderdag 18 april 2024 @ 19:10:
[...]

D'r staat ook in dezelfde verklaring dat in uitzonderlijke gevallen er niet geanomisieerde data buiten de EER (Macedonie) verplaatst wordt naar hun development team.

Ik zou daar in elk geval wel even over doorvragen...

De mogelijkheid open houden om met een subset van productie-data tests uit te kunnen voeren lijkt me geen gek idee;) (geen idee of het hiervoor is). Maar goed, vragen stellen hierover kan altijd. Echter werd er expliciet gesteld in de topic-start dat de data in Amerika opgeslagen is / wordt verwerkt, wat ik nergens uit op kan maken.

Als er een verwerkingsovereenkomst (of hoe dat heet) is het op zich ok. Wat ik alleen niet snap is waarom een BSN, burgerlijke staat, etc nodig is om een rooster te maken en in- en uit te klokken.

In deze discussie wordt volledig voorbijgegaan aan een belangrijk feit. Het gebruik van het BSN is alleen toegestaan indien de wet daarin voorziet. Werkgevers moeten het BSN gebruiken voor de loonaangifte en de afdracht van sociale premies. Roosteren is daar echt geen onderdeel van.
Indien deze partij dus alleen de roosters maakt, dan denk ik dat jouw werkgever niet voldoet aan de regels. Dit wordt overigens anders wanneer deze partij de salarisadministratie uitvoert.

Heb je dit al aan je baas gevraagd waarom je gegevens gedeeld zijn?

Die kan vast uitleg geven en je weet trouwens zeker dat je nergens getekend hebt voor akkoord om deze gegevens te delen?

MaltheseFalcon schreef op donderdag 18 april 2024 @ 21:27:
In deze discussie wordt volledig voorbijgegaan aan een belangrijk feit. Het gebruik van het BSN is alleen toegestaan indien de wet daarin voorziet. Werkgevers moeten het BSN gebruiken voor de loonaangifte en de afdracht van sociale premies. Roosteren is daar echt geen onderdeel van.
Indien deze partij dus alleen de roosters maakt, dan denk ik dat jouw werkgever niet voldoet aan de regels. Dit wordt overigens anders wanneer deze partij de salarisadministratie uitvoert.

Volgens de beschrijving doen ze in de Employee Manager oplossing ook salarissen.

Daar staat alleen over het de nieuwsbrief stuk. Daarnaast staat er ook niet welke gegevens.

Plus er worden een hoop aannames gedaan.

Waar wordt aangegeven dat alle gegevens aan die partij wordt gegeven?
Wellicht is er een koppeling tussen de salaris verwerking en de uren registratie.

Wellicht gaan ze wel alle salaris verwerking overzetten?

Heb je het gevraagd aan je werkgever?

Volgens mij is een verwerkingsovereenkomst voor bedrijven buiten de EU (of EER) niet standaard al voldoende, en dient er ook een contract met het land te zijn of een getekende europees modelcontract.

In de VS hadden ze vroeger het pearl harbour verdrag, dat vervolgens is afgekeurd en werd vervangen door de privacy shield. Maar dat is ook al niet meer actueel. Als er geen verdrag is dient er volgens mij altijd een modelovereenkomst tot stand te komen.

[ Voor 41% gewijzigd door Stephanvr op 19-04-2024 08:41 ]

eric.1 schreef op donderdag 18 april 2024 @ 19:48:
[...]

De mogelijkheid open houden om met een subset van productie-data tests uit te kunnen voeren lijkt me geen gek idee;) (geen idee of het hiervoor is).

Dat ben ik met je eens hoor. Alleen de wetgeving schrijft voor dat er alleen onder bepaalde voorwaardes persoonsgegevens buiten de EER verwerkt mogen worden.

Voor een aantal landen buiten de EER is een "adequaatheidsbesluit" genomen waarvoor het voor die betreffende landen geen probleem is. Laat Macedonia daar nu niet één van zijn.

Dan moet er een "passende waarborg" of een specifieke uitzondering zijn, en die kan ik zo snel niet op de website van de leverancier terugvinden.

Doorgifte persoonsgegevens buiten de EER

Als je als onderneming vindt dat je om wat voor reden dan ook persoonsgegevens buiten de EER wilt plaatsen, dan moet je dat héél goed borgen en kunnen verantwoorden. De wetgeving is daar behoorlijk duidelijk in.

BazenKruistocht schreef op vrijdag 19 april 2024 @ 00:56:
De servers van ons mailingprogramma voor nieuwsbrieven zijn gevestigd in de Verenigde Staten. Jouw gegevens kunnen dus worden doorgegeven, opgeslagen en verwerkt in de Vereni
gde Staten. De doorgifte van deze gegevens gebeurt op grond van het EU-VS Privacy Shield Framework."

Whut? Het Privacy Shield Framework is in 2020 met het Shrems II arrest compleet nietig verklaard door het Europees gerechtshof.

On July 16, 2020, the EU Court of Justice (CJEU) struck down the Privacy Shield, one of the most widely used mechanism for personal data transfers between the EU and the US.

In a landmark decision, the CJEU struck down the Privacy Shield, one of the most widely used mechanisms allowing US commercial companies to transfer and store EU personal data in the US.

The decision by the CJEU to rule the Privacy Shield invalid renders the US a non-adequate country without any special access to Europe’s personal data streams.

Overigens is dit best complexe materie, dus ik kan mij voorstellen dat je werkgever hier geen weet van heeft en te goeder trouw handelt. Maar ik zou je wel willen adviseren om het gesprek even aan te gaan.

[ Voor 35% gewijzigd door Question Mark op 19-04-2024 08:53 ]

sig69 schreef op donderdag 18 april 2024 @ 20:25:
Als er een verwerkingsovereenkomst (of hoe dat heet) is het op zich ok. Wat ik alleen niet snap is waarom een BSN, burgerlijke staat, etc nodig is om een rooster te maken en in- en uit te klokken.

Dit idd. Ik zit niet diep genoeg in AVG, maar er moet dacht ik een grondslag zijn om die gegevens te verwerken, en dan is in dit geval naam/achternaam al voldoende.

https://www.autoriteitper...een/grondslag-toestemming

Ik zou er ook niet blij mee zijn. BSN + naam + geboortedatum is een vervelende combinatie als dat op straat komt te liggen door een of ander data lek.

[ Voor 11% gewijzigd door Verwijderd op 19-04-2024 09:24 ]

BazenKruistocht schreef op donderdag 18 april 2024 @ 16:42:
Hoi medetweakers

Ik werk in de Horeca nu voor 7 maanden en we hebben sinds kort (deze maand) een nieuwe tool om online te roosteren en in te klokken via App

Mijn werkgever heeft alle gegevens van mij doorgeven aan dit externe bedrijf ( https://horeko.com/nl/ een bedrijf dat vele admin doet in de horeca)
Zoals BSN , geboortedatum , email , burgelijkestaat en adres etc.

Dit is gebeurd zonder aankondiging, overleg of goedkeuring etc. (nu blijkt ook nog dat dit bedrijf alles opslaat op amerikaanse servers.

kan ik hier wat mee? ik vind dit toch wel een schending van mijn privacy

GDPR stelt dat de werkgever je op voorhand moeten informeren hier over. Een werkgever mag niet jouw persoonlijke informatie delen met een 3de partij, verwerker of niet, zonder jouw concensus.
GDPR Artikel 6: https://gdpr-info.eu/art-6-gdpr/

Zie ook AVG Artikel 7: https://www.avgb.nl/art-7-avg/

Daarnaast zou je ook inzicht moeten hebben op WIE jou informatie precies heeft en hoe zij daar mee om gaan.
GDPR Artikel 13: https://gdpr-info.eu/art-13-gdpr/

Question Mark schreef op vrijdag 19 april 2024 @ 08:42:

Whut? Het Privacy Shield Framework is in 2020 met het Shrems II arrest compleet nietig verklaard door het Europees gerechtshof.

Reeds vervangen door het Trans-Atlantic Data Privacy Framework, welke sinds 2023 adequaat is verklaard.

Er worden een hoop aannames gedaan. ja, Privacy Shield is ongeldig verklaard zodat doorgifte van de VS niet meer op grond van een adequaatheidsbesluit kon plaatsvinden (artikel 45 AVG). Doorgifte kan echter ook op grond van passende waarborgen (artikel 46), maar dat is aanzienlijk meer moeite. Nu is er dus echter weer een nieuw adequaatheidsbesluit (DPF); ik meen sinds juli 2023.

Dan de fabels rond toestemming. Toestemming is een van de zes grondslagen en dus zeker niet de enige. Artikel 7 geeft invulling aan toestemming, maar lijkt mij (zoals ik hierboven al zei) niet relevant. Het is niet gebruikelijk om een werkgevers-achtige verwerking op toestemming te baseren. Er wordt al vrij snel aangenomen dat een werkgever en werknemer geen gelijkwaardige relatie hebben en dat de werknemer dus geen geldige toestemming kan geven. Kom je uit bij de b-grond (noodzakelijk voor uitvoering arbeidsovereenkomst) of f-grond (gerechtvaardigd belang van de werkgever om zijn administratie op een bepaalde manier in te richten).

/Edit: @Duke of Savage "en werkgever mag niet jouw persoonlijke informatie delen met een 3de partij, verwerker of niet, zonder jouw concensus"
Dit is absoluut onjuist; een verwerkingsverantwoordelijke mag zelf beslissen een verwerker in te schakelen. Daarbij moet dan wel eisen voldaan aan de vereisten van artikel 28. Zou onwerkbaar zijn als je daarvoor toestemming van elke betrokkene moet hebben. Zoals gezegd: in de definitie van derde is de verwerker uitdrukkelijk uitgesloten.

[ Voor 19% gewijzigd door Thijsmans op 19-04-2024 09:53 ]

Thijsmans schreef op vrijdag 19 april 2024 @ 09:45:
...

/Edit: @Duke of Savage "en werkgever mag niet jouw persoonlijke informatie delen met een 3de partij, verwerker of niet, zonder jouw concensus"
Dit is absoluut onjuist; een verwerkingsverantwoordelijke mag zelf beslissen een verwerker in te schakelen. Daarbij moet dan wel eisen voldaan aan de vereisten van artikel 28. Zou onwerkbaar zijn als je daarvoor toestemming van elke betrokkene moet hebben. Zoals gezegd: in de definitie van derde is de verwerker uitdrukkelijk uitgesloten.

Ik denk niet dat een BSN doorgeven hier onder zou vallen?

(28) De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen.

De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

Bron: https://gdpr-text.com/nl/read/recital-28/

Daarnaast lijkt mij niet dat het in/uit klokken een noodzaak is voor het uitvoeren van de arbeidsovereenkomst. Ik ben benieuwd hoe dit beargumenteerd wordt door de werkgever.

Dat is overweging 28, niet artikel 28

https://www.privacy-regul...l-28-verwerker-EU-AVG.htm

Duke of Savage schreef op vrijdag 19 april 2024 @ 09:56:
[...]


Ik denk niet dat een BSN doorgeven hier onder zou vallen?

Dat ligt maar net aan de aard van de verwerking. Als er verloond wordt is een BSN gewoon nodig.

[...]

Bron: https://gdpr-text.com/nl/read/recital-28/

Daarnaast lijkt mij niet dat het in/uit klokken een noodzaak is voor het uitvoeren van de arbeidsovereenkomst. Ik ben benieuwd hoe dit beargumenteerd wordt door de werkgever.

Verloning op basis van daadwerkelijk gewerkte uren, die met de klok worden bijgehouden? Verloning lijkt me een wezenlijk onderdeel van de arbeidsovk

Homehub schreef op vrijdag 19 april 2024 @ 10:03:
[...]

Dat ligt maar net aan de aard van de verwerking. Als er verloond wordt is een BSN gewoon nodig.

[...]


Verloning op basis van daadwerkelijk gewerkte uren, die met de klok worden bijgehouden? Verloning lijkt me een wezenlijk onderdeel van de arbeidsovk

In en uit klokken zou aan de hand kunnen van een nummer die toegewezen wordt aan een medewerker vanuit de werkgever, dan hoeft de 3de partij niet te weten wie of wat er achter dat nummer zit. Dan hoeven er ook geen peroonsgegevens gedeeld te worden.

Je kan ook een digitaal prik klok op hangen dat werkt met een druppel, dan hoeven er geen persoonsgegevens uitgewisseld te worden.

Genoeg andere oplossingen

Homehub schreef op vrijdag 19 april 2024 @ 10:06:
[...]


Zou wel mooi zijn, als je aangehouden wordt:

- "U krijgt een boete voor door rood fietsen. Mag ik uw legitimatiebewijs."
- Ik geef u geen toestemming voor de verwerking van deze gegevens.

Dat is al opgevangen: https://www.autoriteitper...-voor-politie-en-justitie

Homehub schreef op vrijdag 19 april 2024 @ 10:09:
[...]

Moet je me toch uitleggen hoe je dat voor je ziet, als je 1 systeem hebt wat rooster, in/uitklokken en verloning doet.

Als het een salaris verwerker is, dan had het opgenomen moeten zijn in de arbeidsovereenkomst. Doordat het na de arbeidsovereenkomst door deze werkgever gebruikt is, gelden de GDPR artikelen gewoon.

De persoon in kwestie moet zijn concensus kunnen geven om er aan te mee toen of er vandaan weg te lopen.

Dat een werkgever een andere oplossing gevonden heeft om zijn adminitratie laten uit te voeren, betekend niet dat hij een vrijbrief heeft gekregen om zomaar persoonsgegevens van andere weg te geven.

Hoe heeft de werkgever het al die tijd gedaan voordat hij in zee ging met deze 3de partij?

[ Voor 46% gewijzigd door Duke of Savage op 19-04-2024 10:14 ]

Homehub schreef op vrijdag 19 april 2024 @ 10:09:
[...]

Moet je me toch uitleggen hoe je dat voor je ziet, als je 1 systeem hebt wat rooster, in/uitklokken en verloning doet.

In dit geval is dat niet zo. In dit geval worden allerlei gegevens van TS aan een "willekeurige" partij gegeven puur voor het registreren of hij is ingeklokt.

Orangelights23 schreef op vrijdag 19 april 2024 @ 09:39:
[...]


Reeds vervangen door het Trans-Atlantic Data Privacy Framework, welke sinds 2023 adequaat is verklaard.

I know, maar de EC vond "Safe Harbour" en "Privacy Shield" ook adequaat, maar van beide heeft het Europees Gerechtshof toch anders geoordeeld. Dat geeft niet veel vertouwen in de kunde van de EC op dit vlak. Het punt wat ik overigens wilde maken is dat een verwerker nog verwijst naar regel- of wetgeving die al nietig verklaard is. Daar vind ik wel wat van...

Overigens wordt het Data Privacy Framework ook aangevochten bij het gerechtshof, omdat de verschillen met Privacy Shield (te) marginaal zijn. Tenminste, volgens de experts die succesvol de twee voorgangers nietig hebben laten verklaren.

https://noyb.eu/en/europe...ransfers-third-round-cjeu

[ Voor 9% gewijzigd door Question Mark op 19-04-2024 10:25 ]

Question Mark schreef op vrijdag 19 april 2024 @ 10:21:
[...]

I know, maar de EC vond "Safe Harbour" en "Privacy Shield" ook adequaat, maar van beide heeft het Europees Gerechtshof toch anders geoordeeld. Dat geeft niet veel vertouwen in de kunde van de EC op dit vlak.

Overigens wordt het Data Privacy Framework ook aangevochten bij het gerechtshof, omdat de verschillen met Privacy Shield (te) marginaal zijn. Tenminste, volgens de experts die succesvol de twee voorgangers nietig hebben laten verklaren.

https://noyb.eu/en/europe...ransfers-third-round-cjeu

Klopt. Desondanks is dit wel geldig op dit moment en gebruiken organisaties dit framework voor het laten verwerken van data buiten de EER.

De situatie is een beetje onduidelijk. Maar, zonder toestemming mag je werkgever je gegevens niet delen met derde partijen zoals Horeko. Bij veel bedrijven is de privacyovereenkomst opgenomen in het contract of is een appendix daarvan.

Nu heb ik even gekeken naar het standaard contract in de CAO van de horeca, en er wordt wel verwezen naar een mogelijkheid akkoord te tekenen voor huisregels of iets dergelijks, dus mogelijk staat daar iets over in.

Als je het mij verder vraagt zijn er inderdaad veel te veel gegevens gedeeld. Ik vermoed dat Horeko ook payroll services aanbiedt, en dat die werkgever - allicht per ongeluk - alle gegevensvelden heeft doorgegeven in plaats van die er van toepassing zijn. Horeca-mensen zijn geen ICT'ers.

Of je hier veel mee kan... Het klinkt alsof er hier sprake is geweest van een datalek ("data breach"). Officieel moet je werkgever daar melding van maken. Ook jij kan natuurlijk contact zoeken met het AP. Maar wat schiet je daarmee op?

Je kan je werkgever wijzen op zijn verantwoordelijkheden, misschien kan je wat artikelen delen van de website van het AP over z8n verantwoordelijkheden. Wellicht is hij bereid zijn fouten te herstellen - hij kan hier alleen maar van leren.

Verder... Horeca-ondernemers zijn in mijn beleving niet de meest geïnteresseerde mensen wanneer het aankomt op deze details. De praktijk is weerbarstig wat dat aangaat.

Orangelights23 schreef op vrijdag 19 april 2024 @ 10:24:
[...]


Klopt. Desondanks is dit wel geldig op dit moment en gebruiken organisaties dit framework voor het laten verwerken van data buiten de EER.

Uitdaging is wel dat er áls het weer nietig verklaard wordt er met terugwerkende kracht geen wettelijke grondslag is voor de verwerking van gegevens in Amerika. Dit, terwijl er dan al wel persoonsgegevens in Amerika verwerkt zijn. Dat geldt nu al voor de periode tussen 2020 en 2023. Daar is met het Schrems II arrest met terugwerkende kracht het adequaatheidsbesluit vernietigd.

Deze uitdaging neemt overigens niet weg dat je statement klopt. Op dit moment is het toegestaan.

Ik zou mij als TS overigens iets meer zorgen maken over de database met persoonsgegevens die men in Macedonie wil verwerken (indien nodig).

[ Voor 8% gewijzigd door Question Mark op 19-04-2024 10:32 ]

Helixes schreef op vrijdag 19 april 2024 @ 10:25:
De situatie is een beetje onduidelijk. Maar, zonder toestemming mag je werkgever je gegevens niet delen met derde partijen zoals Horeko. Bij veel bedrijven is de privacyovereenkomst opgenomen in het contract of is een appendix daarvan.

Zoals al eerder geschreven in dit topic klopt dit gewoon niet. Er zijn andere grondslagen om gegevens te delen met derden. Daarnaast kan er tussen een werkgever en een werknemer vrijwel nooit sprake zijn van vrijelijk gegeven consent. Zie ook overwegingen 43 en 155 van de AVG.

Ik denk dat ik gek word

Een werkgever hoeft niet bij het aangaan van de arbeidsovereenkomst te vermelden dat hij een verwerker inschakelt. Nogmaals: dat staat niet ter vrije keus van de betrokkene. Natuurlijk heeft de werkgever een transparantieverplichting, maar dat is een ander verhaal.

Een verwerking door een verwerker melden als datalek? De AVG voorziet nota bene in de rechtsfiguur "verwerker". Hoe is dat een inbreuk? En nogmaals: de verwerker IS GEEN DERDE:

10) "derde": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

Voorstel: als je reageert vanuit idee of wens in plaats van kennis, zet dat er dan even bij

TMDC schreef op vrijdag 19 april 2024 @ 10:36:
Zoals al eerder geschreven in dit topic klopt dit gewoon niet. Er zijn andere grondslagen om gegevens te delen met derden. Daarnaast kan er tussen een werkgever en een werknemer vrijwel nooit sprake zijn van vrijelijk gegeven consent. Zie ook overwegingen 43 en 155 van de AVG.

Op zich vind ik de argumentering in overweging 155 wel sterk. Toch is er een belangrijk verschil tussen verwerken - en delen. Het is heel lastig vast te stellen wie het beheer en de toegang heeft in het geval van Horeko, maar het klinkt als een SaaS platform. En in die situatie zul je naar mijn beste inzicht toch consent moeten zoeken bij de medewerker.

Begrijp me niet verkeerd, normaal is dat boiler plate, vooral ook omdat bijvoorbeeld payroll vaak al is uitbesteedt. "Voor uitvoering van rechten en verplichtingen uit je contract en de CAO kan [werkgever] derde partijen inschakelen en kunnen de daartoe strikt noodzaakelijke gegevens, waaronder persoonsgegevens, gedeeld worden met hen". Of iets van die strekking. Maakt niet uit.

Maar zonder akkoord is dat wel lastig.

Helixes schreef op vrijdag 19 april 2024 @ 11:10:
[...]
En in die situatie zul je naar mijn beste inzicht toch consent moeten zoeken bij de medewerker.

Nee. Lees ook overweging 43. Er is een "clear imbalance of power" tussen werkgever en werknemer. Het zou heel dom zijn om daarop te vertrouwen als werkgever.

[ Voor 4% gewijzigd door TMDC op 19-04-2024 11:24 ]

Waar ik ook nog geen antwoord op gezien heb is hoe TS geverifieerd heeft dat de werkgever al deze informatie ook effectief heeft doorgegeven aan Horeko, want TS lijkt nogal zeer snel conclusies te trekken, zoals met het mailingsysteem, dat zijn informatie dan ook maar direct met de VS wordt gedeeld, terwijl dit dus NIET het geval is.

Als de werkgever hen enkel gebruikt voor tijdregistratie bestaat er een kans dat informatie die wel voor loonsadministratie nodig is, zoals BSN en geboortedatum, niet met Horeko gedeeld wordt. En het is maar de vraag of een professioneel email adres kan aanzien worden als een bijzonder persoonsgegeven.

Helixes schreef op vrijdag 19 april 2024 @ 11:10:
[...]

Op zich vind ik de argumentering in overweging 155 wel sterk. Toch is er een belangrijk verschil tussen verwerken - en delen. Het is heel lastig vast te stellen wie het beheer en de toegang heeft in het geval van Horeko, maar het klinkt als een SaaS platform. En in die situatie zul je naar mijn beste inzicht toch consent moeten zoeken bij de medewerker.

Klopt. Delen is een vorm van verwerken. Ook inzien, opslaan, corrigeren en verwijderen zijn verwerkingen.

Dus; delen is een vorm van verwerken, en
Een verwerking kan ook iets anders zijn dan delen, bijv. Opslaan).

Sterker nog; toestemming is helemaal niet nodig. Als je een systeem hebt waaron salarisgegevens verwerkt worden, dan verwerk je bijv. Adres en bankrekening.

Heeft dat bedrijf externe support nodig op dat systeem? Het bedrijf verwerkt deze persoonsgegevens om aan een contractuele plicht te voldoen. Het is dus helemaal niet nodig om daar toestemming voor te hebben.

[ Voor 29% gewijzigd door Stephanvr op 19-04-2024 11:34 ]

TMDC schreef op vrijdag 19 april 2024 @ 11:23:
Nee. Lees ook overweging 43. Er is een "clear imbalance of power" tussen werkgever en werknemer. Het zou heel dom zijn om daarop te vertrouwen als werkgever.

Dus je stelt dat boilerplate niet genoeg is in deze situatie. In het kader van transparantie ben ik dat zeker met je eens en ik zou dat inderdaad wel doen.

Toch is de (wettelijke) verplichting een deugdelijke roosteradministratie te voeren vrij duidelijk. De keren dat ik met equivalente implementaties te maken heb gehad waren de adviezen en interpretaties van de juristen evenwel verschillend. Gezien het feit dat we hier te maken hebben met een kleine ondernemer zou ik hem die beslissing niet direct kwalijk nemen....

Helixes schreef op vrijdag 19 april 2024 @ 11:31:
[...]

Dus je stelt dat boilerplate niet genoeg is in deze situatie. In het kader van transparantie ben ik dat zeker met je eens en ik zou dat inderdaad wel doen.

Er lopen hier een aantal dingen door elkaar heen.

Ten eerste jouw stelling dat consent nodig is: NEEN. Jouw gut feeling heeft daar ongelijk.

Ten tweede - en daar heeft jouw gut feeling mogelijk wél gelijk - transparantie, subsidiariteit en proportionaliteit.

Met andere woorden: is jouw werkgever voldoende transparant over wat hij met wie deelt en op welke grond? Is er een goede afweging gemaakt voor het delen van die gegevens met derden? Kan het doel ook bereikt worden met minder ingrijpende maatregelen, bijvoorbeeld een werknemersnummer ipv het BSN als unieke identifier per werknemer?

Maar: vraag het gewoon eens aan je werkgever.

TMDC schreef op vrijdag 19 april 2024 @ 11:47:
[...]


Er lopen hier een aantal dingen door elkaar heen.

Ten eerste jouw stelling dat consent nodig is: NEEN. Jouw gut feeling heeft daar ongelijk.

Ten tweede - en daar heeft jouw gut feeling mogelijk wél gelijk - transparantie, subsidiariteit en proportionaliteit.

Met andere woorden: is jouw werkgever voldoende transparant over wat hij met wie deelt en op welke grond? Is er een goede afweging gemaakt voor het delen van die gegevens met derden? Kan het doel ook bereikt worden met minder ingrijpende maatregelen, bijvoorbeeld een werknemersnummer ipv het BSN als unieke identifier per werknemer?

Maar: vraag het gewoon eens aan je werkgever.

Akkoord. Toestemming is niet nodig, verwerking gebeurd op basis van een overeenkomst.

/edit: ook helemaal niet aan te raden. Toestemming dient vrij gegeven te worden en schriftelijk te worden vastgelegd. Daarnaast moet je je toestemming altijd in kunnen trekken. Het is niet verstandig om daar überhaupt een beroep op te doen.

Aanvulling; of de verwerking wel of niet legitiem is, is niet te beoordelen zonder expliciet de casus volledig door te lichten. Je werkgever dient echter wel transparant te zijn.

.. en ja, verwerkingen buiten de EER zijn wat lastiger te borgen.

Maar je gaat echt geen gedegen onderbouwd antwoord krijgen. De privacywetgeving is een gedrocht, en dat maakt specifieke toepassingen niet altijd makkelijk te matchen. Dus ja; het is mogelijk dat je werkgever niet aan alle vereisten voldoet, maar dat is in deze casus niet door ons vast te stellen.

[ Voor 7% gewijzigd door Stephanvr op 19-04-2024 11:59 ]

Helixes schreef op vrijdag 19 april 2024 @ 11:10:
[...]
Op zich vind ik de argumentering in overweging 155 wel sterk.

Er is al genoeg gezegd over dat toestemming vragen van een werknemer een behoorlijke no-no is (en dus andere grondslagen nodig zijn), merk op dat overweging 155 alleen zegt dat er regels kunnen worden vastgesteld. Je moet naar andere wet- of regelgeving dan de AVG kijken als je daar wat mee wilt.

Helixes schreef op vrijdag 19 april 2024 @ 10:25:
De situatie is een beetje onduidelijk.

Dit kan de samenvatting zijn. We zijn met z'n allen aan het filosoferen, wensdenken en onderbuiken zonder enige concrete informatie. We weten niet eens of er wordt gewerkt met de gepubliceerde verwerkersovereenkomst, laat staan welke andere afspraken er zijn en welke gegevens worden gedeeld.

Vandaar mijn eerdere tip: vraag of er een DPIA is uitgevoerd. En misschien wat er aan openstaande risico's naar voren zijn gekomen. (Ga IMHO niet om de details vragen, al was het omdat je niet de opleiding of ervaring hebt om dat op waarde te schatten).

Maar eerlijk gezegd heb ik, zonder kennis van zaken van hun backoffice, bij de meeste horeca-ondernemingen niet echt een positief beeld van de mate van dat er voldoende kennis, aandacht en tijd zit of kan zitten om dit goed uit te zoeken en af te spreken. Wat dat betreft maak je meer kans om te vragen of je direct met de leverancier zou mogen schakelen. Maar dan eerst even een cursus AVG doen om de juiste vragen te kunnen stellen.

BazenKruistocht schreef op zaterdag 20 april 2024 @ 04:30:
Update van TS:

Mijn werkgever heeft een eigen interne salarisverwerkings programma/bedrijf en dat is niet Horeko,

Horeko is ingehuurd om alleen te helpen met het roosteren en absoluut niet met verwerking van onze verloning etc. (anders had ik daar ook geen problemen mee gehad)


[...]


Horeko wordt bij ons alleen gebruik voor tijdsregistratie, al mijn gegevens zijn te bij het inloggen op het dashboard en wat betreft de zakelijke email ... (dat is mijn eigen prive domain die alleen voor werk gebruikt wordt)

Hopelijk hebben jullie zo genoeg en een volledig beeld van de situatie

Nou ja, ik snap je wel, maar het antwoord is eigenlijk al meerdere malen al gegeven; dat het bedrijf geen toestemming vraagt betekent niet dat deze verwerking in strijd is met de AVG. Zij kunnen zich immers beroepen op (diverse) andere verwerkingsgronden.

Eigenlijk is er dus geen indicatie dat er überhaupt een overtreding plaats heeft gevonden. Dat is en zou in principe het antwoord moeten zijn.

Stephanvr schreef op zaterdag 20 april 2024 @ 13:19:
Zij kunnen zich immers beroepen op (diverse) andere verwerkingsgronden.

Bij die verwerkingsgronden moet je je natuurlijk wel nog steeds aan de regels houden. Als het inderdaad zo simpel is als dat het BSN en de burgelijke staat te zien is, in een systeem dat echt alleen voor inklokken gebruikt wordt, dan vraag ik me toch wel af of dat het geval is. Inklokken kan ook wel zonder een BSN.

Ik zie dat het pakket koppelt met Loket.nl en Nmbrs, dat zijn beide salarispakketten. Loket.nl ken ik goed en daar is het vaak zo dat als er een koppeling is met een urenregistratiesysteem dat het urenregistratiesysteem ook de werknemersgegevens door kan sturen naar Loket.nl. Ofwel je hoeft alles maar in één pakket in te voeren en in dat geval is het urenregistratiepakket dus gewoon onderdeel van de salarisverwerking en zal er du ook in je urenregistratie een BSN moeten staan. Ik weet natuurlijk niet of dat voor TS geldt, maar dat zou de simpele verklaring kunnen zijn.

Het is alweer een aantal jaar geleden dat ik in deze branche werkte, maar wij waren toen druk bezig in het kader van AVG te stoppen met BSN als identifier richting de salarisadministratie te gebruiken omdat wij geen noodzaak zagen dit in een roostersysteem te verwerken, en over te stappen op iets anders zoals het pasnummer van het pasje wat ze gebruiken om in te klokken. Ik weet vrij zeker dat je met NMBRS en Loket.nl kan koppelen zonder BSN op te slaan buiten het salarisadministratie systeem. Maar dan moet het systeem natuurlijk wel zo ontwikkeld zijn.

alson schreef op zondag 21 april 2024 @ 23:28:
Het is alweer een aantal jaar geleden dat ik in deze branche werkte, maar wij waren toen druk bezig in het kader van AVG te stoppen met BSN als identifier richting de salarisadministratie te gebruiken omdat wij geen noodzaak zagen dit in een roostersysteem te verwerken, en over te stappen op iets anders zoals het pasnummer van het pasje wat ze gebruiken om in te klokken. Ik weet vrij zeker dat je met NMBRS en Loket.nl kan koppelen zonder BSN op te slaan buiten het salarisadministratie systeem. Maar dan moet het systeem natuurlijk wel zo ontwikkeld zijn.

Als het BSN als unieke identifier wordt gebruikt, dan zou dat wel wat verklaren. En dat is heel fout en totaal onnodig om te gebruiken als koppeling met andere systemen.