EOR gegevensbescherming Vietnam komt neer op één vraag voordat er salaris loopt: wie beheerst de medewerkersgegevens, en op welke schriftelijke voorwaarden. Het directe antwoord is dat in een EU-naar-Vietnam EOR-opzet uw bedrijf doorgaans de verwerkingsverantwoordelijke is en de EOR de verwerker, dus er moet een getekende verwerkersovereenkomst zijn voordat er medewerkersgegevens bewegen. De Vietnamese regels vallen onder de Wet Bescherming Persoonsgegevens (Wet nr. 91/2025/QH15) en Besluit 356/2025/ND-CP, beide van kracht per 1 januari 2026, terwijl de EU-verplichtingen de AVG volgen. Toets de gegevensvoorwaarden aan de Sunbytes EOR-dienst terwijl u de aanwerving plant.
TL;DR
- De EU-klant treedt doorgaans op als verwerkingsverantwoordelijke, terwijl de Vietnamese EOR fungeert als verwerker op basis van een ondertekende verwerkersovereenkomst (Data Processing Agreement, DPA).
- Overdrachten van personeelsgegevens tussen de EU en Vietnam moeten voldoen aan zowel de AVG/GDPR (artikelen 28 en 46) als de Vietnamese PDPL en Decreet 356, die van kracht zijn sinds 1 januari 2026.
- Voordat kandidaat- of salarisgegevens worden overgedragen, moeten de DPA, het overdrachtsmechanisme, de rechtsgrondslag en de toegangscontroles volledig zijn goedgekeurd en gedocumenteerd.
Hoe de Vietnamese PDPL en Besluit 356 EOR-medewerkersgegevens raken
EOR-gegevensbescherming Vietnam rust eerst op lokaal recht. De Vietnamese Wet Bescherming Persoonsgegevens en Besluit 356/2025/ND-CP regelen elke verwerking van persoonsgegevens van een Vietnamese inwoner, ook verwerking door buitenlandse entiteiten, vanaf 1 januari 2026. Het kader verving Besluit 13/2023/ND-CP en tilde gegevensbescherming van besluitniveau naar wetsniveau, met een uitgebreide lijst gevoelige gegevens die nu uitdrukkelijk bankrekeninggegevens en afbeeldingen van identiteitsdocumenten omvat (update Besluit 356/2025/ND-CP).
Voor een EOR-aanwerving betekent dit dat de aanbieder salaris-, contract- en wettelijke gegevens op een rechtsgrondslag moet verwerken, de rechten van betrokkenen moet eerbiedigen, een verwerkingsregister moet bijhouden, en een kwalificerende inbreuk binnen de wettelijke termijn aan de autoriteit moet melden. De boetes zijn aanzienlijk: inbreuken bij grensoverschrijdende doorgifte kunnen oplopen tot 5% van de omzet van het voorgaande jaar of VND 3 miljard, circa EUR 100.000, afhankelijk van wat hoger is (Tilleke en Gibbins). Behandel de exacte doorgifteroute en de meldtermijn als punten om met een jurist te verifiëren, niet als vaststaande feiten.
De EOR-gegevensstroom: welke medewerkersgegevens bewegen en wanneer
EOR-gegevensbescherming Vietnam wordt concreet zodra u de gegevensstroom in kaart brengt. Medewerkersgegevens bewegen in vijf fasen in een EOR-opzet, van kandidaatscreening tot doorlopend dienstverband, en elke fase vraagt een eigen controle in plaats van een algemene toestemming. De stroom eerst in kaart brengen is wat HR, legal en IT laat afspreken waar het risico zit voordat er salaris loopt. De onderstaande tabel is de versie om met uw EOR door te lopen voordat er gegevens worden gedeeld.
| Fase | Gedeelde gegevens | Wie houdt ze | Vereiste controle |
|---|---|---|---|
| Kandidaat en aanbod | Naam, cv, contact, identiteitsdocument | Klant en EOR | Minimalisatie, privacyverklaring |
| Contractopzet | ID, adres, bank, gezinsleden, fiscaal nummer | EOR als verwerker | Getekende DPA, rechtsgrondslag |
| Salarisronde | Salaris, bankgegevens, inhoudingen | EOR en salarissysteem | Toegangscontrole, encryptie |
| Wettelijke afdracht | Identificatoren Sociale Verzekering en PIT | EOR en autoriteiten | Grondslag wettelijke verplichting |
| Doorlopend dienstverband | Verlof, prestatie, secundaire voorwaarden | Klant en EOR | Bewaarlimieten, rechtenafhandeling |
AVG Artikel 28 en Artikel 46 in een EU-naar-Vietnam EOR-opzet
De AVG blijft gelden wanneer een EU-vestiging bepaalt waarom en hoe medewerkersgegevens worden verwerkt, ook al zitten het werk en de EOR in Vietnam. De EOR die op uw gedocumenteerde instructies handelt, is een verwerker, dus AVG Artikel 28 vereist een verwerkersovereenkomst met omschreven verwerkersverplichtingen voordat er gegevens worden gedeeld. Omdat Vietnam niet op de EU-adequaatheidslijst staat, leunt de doorgifte zelf op de waarborgen van AVG Artikel 46, in de praktijk de modelcontractbepalingen plus een doorgiftebeoordeling en eventuele aanvullende maatregelen. Uw bedrijf blijft de verantwoordelijke die ter verantwoording wordt geroepen, en daarom worden de verwerkersovereenkomst en het doorgiftemechanisme voor de onboarding beoordeeld, niet erna. Dit is GDPR employer of record Vietnam-praktijk in één zin: de verantwoordelijkheid verschuift niet naar de aanbieder.
Behandel een complianceclaim van een leverancier niet als het doorgiftemechanisme zelf. Voor het bredere aanbiederbeeld geeft de complete gids voor EOR in Vietnam de context, en de doorgiftekeuze hoort nog steeds met een jurist te worden bevestigd.
Grensoverschrijdende doorgifte: hoe de Vietnamese en EU-regels stapelen
Een enkele EU-naar-Vietnam HR-doorgifte kan twee regimes tegelijk activeren, dus breng beide in kaart voordat medewerkersgegevens bewegen, in plaats van het ene als vervanging voor het andere te zien. Aan de Vietnamese kant vereist Besluit 356 een doorgifteovereenkomst die de punten in Artikel 7 dekt, waaronder het doel van de doorgifte, de gegevenscategorieën, de bewaartermijn, de rechtsgrondslag, de verantwoordelijkheden van elke partij, en coördinatie bij inbreuken, plus een impactbeoordeling voor grensoverschrijdende doorgifte tenzij een vrijstelling geldt (update Besluit 356/2025/ND-CP). Grensoverschrijdend HR-beheer en opslag van medewerkersgegevens in de cloud behoren tot de gevallen die vrijgesteld kunnen zijn van de impactbeoordeling, al blijven de doorgifteovereenkomst en de rechtsgrondslag gelden.
Aan de EU-kant leunt de doorgifte op de waarborgen van AVG Artikel 46, in de praktijk modelcontractbepalingen met een doorgiftebeoordeling en eventuele aanvullende technische maatregelen, omdat Vietnam niet op de adequaatheidslijst staat. Een aparte localisatieregel voor cyberbeveiliging onder Besluit 53/2022 kan ook bepaalde diensten raken, dus de veilige volgorde is de Vietnamese grondslag, het EU-mechanisme en een eventuele localisatieplicht met een jurist te bevestigen voor de onboarding. Behandel medewerkersgegevensdoorgifte Vietnam als een tweezijdige controle, niet als één regel tekst.
Wat de EOR-verwerkersovereenkomst moet vermelden voordat gegevens worden gedeeld
Een EOR-verwerkersovereenkomst moet rollen, gegevens, waarborgen en exitvoorwaarden schriftelijk vastleggen voordat er medewerkersgegevens bewegen, want een getekend contract is het bewijs dat een auditor en een toezichthouder zullen vragen. De onderstaande checklist is het minimum dat een EOR DPA Vietnam-beoordeling clausule voor clausule hoort te bevestigen. Behandel elke clausule die alleen mondeling is als ontbrekend.
| Clausule DPA | Wat het moet vermelden |
|---|---|
| Rollen | Benoemt de verantwoordelijke (uw bedrijf) en de verwerker (de EOR), met gedocumenteerde instructies |
| Gegevenscategorieën | Somt basis- en gevoelige gegevens op, inclusief bank-, ID- en salarisgegevens |
| Doel en rechtsgrondslag | Beperkt verwerking tot dienstverband, salaris en wettelijke doeleinden |
| Bewaring en verwijdering | Geeft bewaartermijnen en verwijdering of teruggave bij einde contract |
| Toegangscontroles | Rolgebaseerde toegang, encryptie en logging voor salaris- en identiteitsgegevens |
| Subverwerkers | Somt subverwerkers op en vereist goedkeuring en gelijkwaardige voorwaarden |
| Grensoverschrijdende doorgifte | Benoemt het mechanisme: AVG Artikel 46 modelcontractbepalingen plus de Vietnamese doorgifteovereenkomst |
| Inbreukmelding | Stelt de meldtermijn en de coördinatieplichten tussen verwerker en verantwoordelijke vast |
| Auditrechten | Geeft de verantwoordelijke het recht te auditen of op verzoek bewijs te ontvangen |
| Teruggave en verwijdering bij exit | Geeft gegevens terug of verwijdert ze bij beëindiging en bevestigt dit schriftelijk |
Voordat salarisgegevens bewegen, beoordeel de verwerkersovereenkomst, de toegangscontroles en het doorgiftepad. Sunbytes kan uw HR-, legal- en IT-teams door de EOR-gegevensstroom leiden voordat de onboarding start, en vergelijkt u nog aanbieders, dan toont het overzicht van de beste Employer of Record diensten hoe sterke gegevensvoorwaarden eruitzien.
Toestemming, kennisgevingen en auditspoor van werknemers
Werknemers horen een duidelijke privacyverklaring te krijgen en het bedrijf hoort het bewijs te bewaren dat elke verwerkingsactiviteit ondersteunt, want onder zowel de PDPL als de AVG ligt de bewijslast bij de verantwoordelijke. De verklaring hoort de verantwoordelijke en de EOR als verwerker te benoemen, de doeleinden, de rechtsgrondslag, de grensoverschrijdende doorgifte, en de rechten van de betrokkene op inzage, correctie, bezwaar, verwijdering en intrekking van toestemming. Bewaar als bewijs de getekende verwerkersovereenkomst, de doorgiftedocumentatie, het verwerkingsregister en eventuele toestemmingsregistraties, zodat een leveranciersbeoordeling of een verzoek van een toezichthouder snel te beantwoorden is. Kiest u tussen aanbieders op deze punten, dan zet de juiste EOR-dienst kiezen uiteen wat u eerst verifieert.
Verzoeken van betrokkenen en inbreuken afhandelen in een EOR-opzet
EOR-gegevensbescherming Vietnam wordt het meest getest op twee momenten: een verzoek van een betrokkene en een inbreuk. Wanneer een werknemer een recht uitoefent of er een inbreuk plaatsvindt, blijft de verantwoordelijke aansprakelijk en handelt de verwerker op instructies en werkt mee, dus spreek het draaiboek af voordat een van beide zich voordoet. Voor de rechten van betrokkenen kan een werknemer vragen om inzage, correctie, bezwaar of verwijdering van zijn gegevens, of toestemming intrekken, en de EOR als verwerker leidt het verzoek door naar uw bedrijf en helpt het binnen de wettelijke termijn te vervullen. Bij een inbreuk hoort de EOR het incident te detecteren en te classificeren, uw bedrijf zonder onnodige vertraging te informeren, en de melding aan de autoriteit binnen de wettelijke termijn te ondersteunen, terwijl uw bedrijf beslist over het informeren van getroffen werknemers.
De praktische test is of de EOR een gedocumenteerd proces voor beide kan tonen, niet alleen een clausule die zegt dat hij zal meewerken. Een aanbieder die een rechtenafhandelingsworkflow en een inbreukdraaiboek kan leveren, is veel makkelijker te verdedigen in een audit (DLA Piper Vietnam).
Beveiligingsbewijs: ISO 27001, toegangscontrole, verwerking salarisgegevens
Privacyvoorwaarden houden alleen stand wanneer beveiligingscontroles ze ondersteunen, dus een EOR-gegevensbescherming Vietnam-beoordeling hoort om bewijs te vragen, niet om toezeggingen. Vraag een ISO 27001-certificaat of een gelijkwaardig bewijs, een rolgebaseerd toegangsbeleid dat beperkt wie salaris- en identiteitsgegevens kan zien, encryptie tijdens verzending en in rust, en toegangslogging. De verwerking van salarisgegevens hoort dataminimalisatie te volgen, zodat de EOR alleen houdt wat wettelijke afdracht en betaling vereisen. Koppel elke controle terug aan de bijbehorende clausule, en bevestig de operationele kant aan EOR-compliance in Vietnam.
Leveranciersbeoordeling: het bewijs om te scoren voordat u tekent
Maak van de verwerkersovereenkomst en de beveiligingsclaims een gescoorde checklist, zodat inkoop aanbieders op hetzelfde bewijs vergelijkt in plaats van op marketing. Achter elke regel hieronder hoort een document te zitten, en een aanbieder die er geen kan leveren is een pauze, geen misschien. Dit is de EOR-gegevensbescherming Vietnam-controle die in de contractfase thuishoort, niet na de onboarding.
| Bewijs | Waarom het telt | Slaagvoorwaarde |
|---|---|---|
| Getekende DPA met Artikel 28-clausules | Legt verwerkersverplichtingen schriftelijk vast | Geleverd en getekend voordat gegevens bewegen |
| ISO 27001-certificaat of gelijkwaardig | Toont een beheerde beveiligingsbasis | Actueel certificaat, benoemde scope |
| Subverwerkerslijst en goedkeuring | Beheerst doorgifte aan derden | Lijst geleverd, wijziging vereist goedkeuring |
| Toegangs- en encryptiebeleid | Beperkt wie salaris- en ID-gegevens ziet | Rolgebaseerde toegang, encryptie onderweg en in rust |
| Inbreukdraaiboek en meldtermijn | Bewijst dat de aanbieder op tijd kan reageren | Gedocumenteerde stappen en een vermelde termijn |
| Doorgiftemechanisme | Dekt het grensoverschrijdende pad | Modelcontractbepalingen plus een Vietnamese doorgifteovereenkomst |
Hoe Sunbytes EOR-gegevensbescherming aanpakt
Sunbytes behandelt EOR-gegevensbescherming in Vietnam als een operationele controle, niet als een document, met een getekende verwerkersovereenkomst, omschreven toegangscontroles en een auditspoor voordat de onboarding start. Als verwerker voor EU-cliënten werkt Sunbytes volgens AVG Artikel 28-voorwaarden, ondersteunt het Artikel 46-doorgiftemechanisme dat uw jurist kiest, en voert het de Vietnamese salarisadministratie uit onder ISO 27001-controles, met een benoemde verantwoordelijke bereikbaar binnen de overlap van 4 tot 5 uur tussen Nederland en Vietnam. Het Nederlandse hoofdkantoor geeft EU-kopers een vertrouwde verantwoordingslijn voor een Vietnamese gegevensopzet.
Waarom Sunbytes?
Sunbytes werd opgericht in Nederland in 2011 en heeft meer dan 300 klantprojecten gerealiseerd in meer dan 20 landen. Dankzij onze delivery hub in Ho Chi Minh City beschikken wij over directe kennis van de Vietnamese arbeidsmarkt, payrollprocessen en het lokale regelgevingskader.
Onze drie servicepijlers ondersteunen EOR-payroll in Vietnam in elke fase:
- Payroll wordt door u goedgekeurd en lokaal verwerkt: Via Accelerate Workforce Solutions verzorgt Sunbytes EOR-payroll in Vietnam, van SHUI-registratie tot de uitbetaling van nettosalarissen. Correct en op tijd, elke maand opnieuw.
- Payrollgegevens worden beschermd voordat zij grensoverschrijdend worden verwerkt: Via CyberSecurity Solutions ondersteunt Sunbytes gecontroleerde toegangsrechten, ISO 27001-gecertificeerde processen en de verwerking van DPA-verplichtingen conform Artikel 28 van de AVG (GDPR), nog vóór de start van de samenwerking.
- Technische teams kunnen opschalen zonder dat payroll een knelpunt wordt: Via Digital Transformation Solutions ondersteunt Sunbytes bedrijven bij het opzetten en uitbreiden van delivery teams in Vietnam, terwijl Accelerate Workforce Solutions de payroll- en EOR-laag ondersteunt.
FAQs
In een standaard EU-naar-Vietnam-opzet is de EOR de verwerker en uw bedrijf de verantwoordelijke, omdat uw bedrijf beslist waarom en hoe medewerkersgegevens worden verwerkt. De EOR verwerkt salaris-, contract- en wettelijke gegevens op uw gedocumenteerde instructies. Bevestig de rollen in de verwerkersovereenkomst, want een aanbieder die buiten de instructies handelt, kan zijn status veranderen.
Ja. De AVG volgt de verwerkingsbeslissingen van de EU-verantwoordelijke, dus zij geldt ook al zitten de EOR en het werk in Vietnam. U hebt een AVG Artikel 28 verwerkersovereenkomst en een Artikel 46-doorgiftemechanisme nodig, omdat Vietnam niet op de EU-adequaatheidslijst staat. Bevestig het mechanisme met een jurist in plaats van te vertrouwen op een complianceclaim van een leverancier.
Een EOR-verwerkersovereenkomst hoort de rollen van verantwoordelijke en verwerker te omschrijven, de gegevenscategorieën, het doel en de rechtsgrondslag, bewaring en verwijdering, toegangscontroles, subverwerkers, het grensoverschrijdende doorgiftemechanisme, inbreukmelding, auditrechten, en teruggave of verwijdering bij exit. Elke clausule hoort schriftelijk te zijn, niet mondeling. Behandel elke ontbrekende clausule als reden om te pauzeren voordat u gegevens deelt.
Ja, met de juiste waarborgen. De EU-kant leunt op AVG Artikel 46 modelcontractbepalingen plus een doorgiftebeoordeling, en de Vietnamese kant voegt een doorgifteovereenkomst onder Besluit 356 toe, al kan grensoverschrijdend HR-beheer vrijgesteld zijn van de aparte doorgifte-impactbeoordeling. Verifieer de vrijstelling en het mechanisme met een jurist voordat gegevens bewegen.
Vraag om de getekende verwerkersovereenkomst, een ISO 27001-certificaat of gelijkwaardig bewijs, de subverwerkerslijst, het toegangsbeleid, het inbreukmeldingsproces en de doorgiftedocumentatie. Deze sluiten direct aan op PDPL- en AVG-verplichtingen en op controles voor medewerkersgegevensdoorgifte in Vietnam (DLA Piper Vietnam). Een aanbieder die ze snel kan leveren, is zelf een positief signaal.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
