AVG en spenddata: wel of geen verwerkersovereenkomst?

Toegevoegd op | Door Willem Hoek

Op 25 mei is de Algemene verordening gegevensbescherming (AVG) van kracht geworden. Deze verordening verandert voor organisaties de verantwoordelijkheden en verplichtingen rondom het verwerken van persoonsgegevens. Voor de afdeling inkoop is het de vraag of financiële gegevens en spenddata onder persoonsgegevens vallen. Hebben betrokkenen het recht om de data in te zien, te wijzigen, vergeten te worden en gegevens over te dragen? Je leest het in deze blog.

Wat zijn persoonsgegevens?

Onder persoonsgegevens vallen volgens de Autoriteit Persoonsgegevens alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Alleen een voornaam zal niet leiden tot een identificatie, maar een combinatie voornaam en achternaam, of voornaam en werkgever, of ontelbare andere combinaties kunnen hier wel toe leiden. De Autoriteit Persoonsgegevens onderscheidt ook nog bijzondere persoonsgegevens zoals ras, godsdienst, of gezondheid.

Wat is spenddata?

De data die de afdeling inkoop gebruikt bij het analyseren van de inkoop van een organisatie noemen we spenddata. Hierbij kunnen we denken aan:

  • factuurregels
  • orderregels
  • grootboekmutaties.

Per regel wordt er gekeken naar dimensies als kostensoort, kostenplaats, leverancier, bedrag, artikelnummer en productcategorie. De regels komen voort uit orders en facturen die organisaties versturen en ontvangen van andere partijen. Onder deze partijen kunnen bedrijven en stichtingen vallen, maar ook zelfstandigen en zelfs personeelsleden.

Valt spenddata onder persoonsgegevens?

Waar zelfstandigen facturen sturen onder hun eigen naam en personeelsleden declaraties en onkosten indienen onder naam en personeelsnummer, spreken we van persoonsgegevens. Om de betaling te doen, moet ten minste naam en rekeningnummer bekend zijn. Er is dus sprake van identificeerbare natuurlijke personen en gegevens die daaraan gekoppeld zijn.

Wel of geen verwerkersovereenkomst bij spenddata?

Zoals hierboven vermeld hebben organisaties sinds 25 mei meer verplichtingen en verantwoordelijkheden rondom het opslaan en verwerken van persoonsgegevens en valt spenddata onder persoonsgegevens. De eigenaar van de persoonsgegevens is bij verwerking van de data de verwerkingsverantwoordelijke en iedere andere partij die voor de verwerkingsverantwoordelijke in aanraking komt met de persoonsgegevens is een verwerker. Voor spenddata geldt dus dat tussen verwerkingsverantwoordelijke en verwerker een verwerkersovereenkomst getekend dient te worden.

Wil je meer weten over hoe je als inkoopafdeling om moet gaan met spenddata en de AVG? Neem contact op met onze Business Consultant Willem Hoek.

Neem contact op met Willem