Verantwoordelijke, verwerker of allebei?

By in
Verantwoordelijke, verwerker of allebei?

Bent u verwerkingsverantwoordelijke, verwerker of allebei?

Eén van de lastigste dingen uit de AVG is het vaststellen van de rollen die horen bij het verwerken van persoonsgegevens. De AVG maakt onderscheid tussen de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’. In de praktijk blijkt het lastig te zijn welke rol een organisatie aanneemt bij een bepaalde verwerking.

De European Data Protection Board, een samenwerkingsverband van alle Europese privacytoezichthouders, heeft daarom richtlijnen gepubliceerd waarin de begrippen ‘verwerker’ en ‘verwerkingsverantwoordelijke’ worden uitgelegd. Ook wordt er ingegaan op de belangrijkste gevolgen voor verantwoordelijken, verwerkers en gezamenlijke verantwoordelijken van persoonsgegevens. Deze richtlijnen helpen met het beantwoorden van vragen als: ben ik verwerkingsverantwoordelijke? Ben ik verwerker? Of ben ik samen met een andere partij gezamenlijk verantwoordelijk.

Onderstaand worden beide begrippen aan de hand van de nieuwe richtlijnen uiteengezet. Ook zal het belang van deze rolverdeling voor uw organisatie worden behandeld. Een andere rol brengt namelijk ook andere verplichtingen met zich mee. Daarom kan een foutieve rolverdeling of het niet afsluiten van de bijbehorende verwerkersovereenkomst vervelende gevolgen hebben voor uw organisatie. In dit artikel leest u hoe u dit kunt voorkomen.

 

Richtlijnen EDPB als hulpmiddel

De richtlijnen zijn een hulpmiddel bij het vaststellen of een organisatie als verwerkingsverantwoordelijke of verwerker moet worden gekwalificeerd, of dat er sprake is van een gezamenlijke verwerkingsverantwoordelijkheid. Elke verwerking van persoonsgegevens heeft een verwerkingsverantwoordelijke. Deze krijgt onder de AVG een hoop verplichtingen opgelegd. Soms maakt een verwerkingsverantwoordelijke gebruik van een verwerker. Een verwerker heeft ook enkele verplichtingen en de samenwerking moet worden vastgelegd in een overeenkomst: de verwerkersovereenkomst.

De richtlijnen bevatten tal van voorbeelden van de verschillende rollen. Het document bevat tevens een flowchart die kan helpen bij het vaststellen van uw AVG-rol. Ook wordt in de richtlijnen ingegaan op de verantwoordelijkheden die een organisatie als verwerkingsverantwoordelijke of verwerker heeft.

 

Wat is een verwerkingsverantwoordelijke?

Uw organisatie is verwerkingsverantwoordelijke als u het doel van en de middelen voor de verwerking vaststelt. Dit betekent dat u beslist waarom persoonsgegevens worden verwerkt en hoe dit gebeurt. De verwerkingsverantwoordelijke heeft zeggenschap over de gegevens die verwerkt worden. Daarnaast kan de verwerkingsverantwoordelijke instructies geven aan de partij die de gegevens in opdracht van hem of haar verwerkt (de verwerker). Bovendien heeft de verwerkingsverantwoordelijke feitelijke invloed op de verwerking door beslissingen te nemen over de verwerking.

Als werkgever bent u bijvoorbeeld verwerkingsverantwoordelijke ten opzichte van uw personeel en de personeelsgegevens die door u verwerkt worden.

 

Wat is een verwerker?

Een verwerker verwerkt persoonsgegevens uitsluitend namens de verwerkingsverantwoordelijke. Een verwerker is meestal een derde partij (toeleverancier/dienstverlener) buiten uw onderneming.

Het gaat er in de praktijk dus om dat de verwerker de verwerking uitvoert ten behoeve van de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking door de verwerker. Een verwerker staat ook niet onder direct gezag van de verwerkingsverantwoordelijke. Het is niet altijd gemakkelijk te bepalen of een partij is aan te merken als verwerker in de zin van de AVG.

Wanneer u als werkgever een derde partij inschakelt voor uw salarisadministratie, dan is die derde in de meeste gevallen aan te merken als verwerker. Voorbeelden van veelvoorkomende verwerkers zijn: internet service providers of hosting providers, clouddienstleveranciers, leveranciers van e-maildiensten en online marketing bureaus.

Bij situaties waarin het niet geheel duidelijk is of een partij is aan te merken als verwerker of niet, dient er gekeken te worden naar alle omstandigheden. De mate van zeggenschap van de vermoedelijke verwerker speelt hierbij een belangrijke rol. Hoe hoger de zeggenschap, hoe groter de kans dat een partij zelf verwerkingsverantwoordelijke is.

 

Gezamenlijke verwerkingsverantwoordelijken

Uw organisatie is een gezamenlijke verwerkingsverantwoordelijke als zij samen met één of meer organisaties gezamenlijk bepaalt „waarom” en „hoe” persoonsgegevens moeten worden verwerkt. Gezamenlijke verwerkingsverantwoordelijken dienen op grond van de AVG een overeenkomst op te stellen waarin hun verantwoordelijkheden voor de naleving van de AVG-regels worden vastgelegd. De belangrijkste aspecten van deze overeenkomst moeten worden meegedeeld aan de personen van wie gegevens worden verwerkt.

 

Verwerker én verwerkingsverantwoordelijke

Een organisatie kan ook nog verwerker en verwerkingsverantwoordelijke tegelijkertijd zijn. Een salarisadministratiekantoor is bijvoorbeeld verwerker voor uw gegevens, maar voor zijn eigen klantenbestand is hij de verwerkingsverantwoordelijke. Een organisatie is dus zowel verwerker als verwerkingsverantwoordelijke, als men voor iemand anders gegevens verwerkt én voor zichzelf. Als een organisatie een andere partij opdracht geeft om gegevens te verwerken, dan wordt deze partij verwerker en dan is de organisatie die de gegevens laat verwerken verwerkingsverantwoordelijke.

 

Verwerkersovereenkomst

Indien een verwerkingsverantwoordelijke een verwerker inschakelt, dienen partijen een verwerkersovereenkomst af te sluiten. Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke als de verwerker.

In de verwerkersovereenkomst moeten afspraken worden gemaakt over in ieder geval de volgende onderwerpen:

  • welke persoonsgegevens er verwerkt gaan worden;
  • op welke manier en voor welke doelen persoonsgegevens verwerkt gaan worden;
  • aan welke partijen de verwerker de persoonsgegevens mag verstrekken;
  • welke beveiligingsmaatregelen de verwerker heeft genomen om de opgeslagen gegevens te beveiligen;
  • dat de verwerkingsverantwoordelijke audits mag uitvoeren bij verwerker;
  • hoe aan de rechten van de betrokkene (inzage, verwijdering, correctie etc.) wordt voldaan;
  • dat de verwerker ondersteunt bij het melden van datalekken, wie de datalekken meldt en wie de eventuele ontstane schade vergoedt;
  • wanneer en op welke manier de gegevens verwijderd worden na beëindiging van de overeenkomst tussen beide partijen.

Daarnaast worden vaak afspraken vastgelegd over aansprakelijkheid en vrijwaringen, bijvoorbeeld in het geval van het opleggen van boetes door de Autoriteit Persoonsgegevens.

 

Waarom is het verschil tussen een verwerker en verwerkingsverantwoordelijke zo belangrijk?

Bij een andere rol horen andere verplichtingen. Zo gelden er voor een verwerker minder strenge verplichtingen dan voor een verwerkingsverantwoordelijke. Een verwerkingsverantwoordelijke die (onder druk van de wederpartij) een verwerkersovereenkomst afsluit in de rol van verwerker zet zichzelf bovendien onnodig klem. Deze partij zou dan immers niet meer voor eigen doeleinden gegevens mogen gebruiken, terwijl een verwerkingsverantwoordelijke juist wel gegevens voor eigen doeleinden gebruikt.

Een verwerkingsverantwoordelijke die een verwerkersovereenkomst afsluit als verwerker, zal de afspraken uit een overeenkomst niet kunnen nakomen. Dit kan leiden tot ontbinding van de verwerkersovereenkomst. In de meeste gevallen zal de hoofdovereenkomst dan ook ontbonden moeten worden omdat de verwerkersovereenkomst daarmee samenhangt. Zo kan in theorie het ondertekenen van een verkeerd privacyrechtelijk contract leiden tot het verlies van overeenkomsten.

 

Waar kunnen wij u mee helpen?

Wanneer een organisatie de rol van verwerker aanneemt en wanneer er sprake is van de rol van verwerkingsverantwoordelijke, is per situatie verschillend. Dat maakt het juist zo ingewikkeld. Daarom is het verstandig om een partij te raadplegen die er verstand van heeft.

De privacy professionals van Consignium kunnen u helpen met het inventariseren van al uw verwerkers. Daarnaast kunnen wij u helpen bij het opstellen van een verwerkersovereenkomst op maat of het controleren van de al door u afgesloten verwerkersovereenkomsten.

Maak direct een afspraak! Of neem contact op via info@consignium.nl