Verantwoordelijke of verwerker? Wat ben ik en wat zijn mijn leveranciers?

Voor een organisatie is het belangrijk om helder te hebben of ze verantwoordelijke, verwerker of beide zijn. Een verantwoordelijke in de zin van de AVG (Algemene Verordening Gegevensbescherming) heeft andere verplichtingen om aan te voldoen dan een verwerker. Maar hoe bepaal je of jouw organisatie een verantwoordelijke of verwerker (of beide) is? Hoe moet je jouw leveranciers zien en wat is jouw organisatie voor jullie klanten?

Wat is een verantwoordelijke?

„verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een

overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen,

het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

In andere woorden:

  • als je bepaalt dat er persoonsgegevens gebruikt moeten worden (en het initiatief neemt tot het verwerken van persoonsgegevens),
  • bepaalt waarom je persoonsgegevens gaat gebruiken en
  • hoe je dat doet, dan ben je een verantwoordelijke.

Hoe werkt dat in de praktijk? Bijvoorbeeld als jouw organisatie een dienst of product levert en persoonsgegevens nodig heeft om dat goed te kunnen doen. Jouw organisatie bepaalt dat er persoonsgegevens nodig zijn om de dienst of het product te leveren en welke gegevens er nodig zijn. Daarnaast bepalen jullie hoe en hoelang die gegevens gebruikt worden, waar ze opgeslagen worden, hoe de gegevens beveiligt moeten worden en of het niet met minder gegevens kan. Jullie zijn dan verantwoordelijke.

Een webshop heeft bijvoorbeeld bepaalde gegevens nodig van haar klanten om de bestelde producten bij de klanten te krijgen. De webshop bepaalt zelf dat er persoonsgegevens nodig zijn en welke gegevens zij minimaal nodig heeft om haar producten te leveren en op welke manier zij met de persoonsgegevens omgaat.

Wat is een verwerker?

„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

Soms heeft een verantwoordelijke bij het verwerken van persoonsgegevens hulp nodig van een andere organisatie. Bijvoorbeeld voor de (personeels)administratie. De verwerker is degene die in opdracht van een verantwoordelijke persoonsgegevens verwerkt (zonder aan zijn “gezag” te zijn onderworpen). Het verwerken van persoonsgegevens moet wel de primaire opdracht zijn van de verantwoordelijke aan de verwerker.

Met andere woorden, de dienstverlening van de verwerker moet gericht zijn op het verwerken van persoonsgegevens ten behoeve van de verantwoordelijke. Als de verwerking van persoonsgegevens niet de primaire opdracht is, maar een uitvloeisel is van een andere vorm van dienstverlening, dan is de dienstverlener zélf de verantwoordelijke voor de verwerking van de persoonsgegevens.

De Handleiding Algemene Verordening Gegevensbescherming van het Ministerie van Justititie en Veiligheid geeft hierbij de volgende voorbeelden:

Een goed voorbeeld is een administratiekantoor dat namens een bedrijf de salarisadministratie voert.
De opdracht aan het administratiekantoor is het uitvoeren van de salarisadministratie, wat neerkomt op het verwerken van de persoonsgegevens van de medewerkers. In dit geval is het administratiekantoor verwerker. Een ander voorbeeld is een aanbieder van gegevensopslag in de cloud, wanneer de dienst puur ziet op het opslaan van gegevens, dan is de cloud-aanbieder een verwerker.

Een handelsinformatiebureau dat bedrijven in staat stelt om de kredietwaardigheid van consumenten te beoordelen is daarentegen meestal géén verwerker. De opdracht is immers ‘beoordeel voor mij de kredietwaardigheid van deze consument’. Hoewel bij de beoordeling van de kredietwaardigheid weliswaar persoonsgegevens worden gebruikt en het handelsinformatiebureau opdrachtnemer is, bepaalt het handelsinformatiebureau zelf hoe zij de opdracht uitvoert en welke gegevens zij daar eventueel voor aanwendt (doel en middelen). Het handelsinformatiebureau is daarmee zelf verwerkingsverantwoordelijke en niet verwerker.

Een ander voorbeeld is het aanbieden van online diensten. Wanneer een cloud-aanbieder bijvoorbeeld een fitness app aanbiedt aan bedrijven om medewerkers gezond en fit te houden en deze app verwerkt daartoe de gegevens van medewerkers, dan is de cloud-aanbieder verwerkingsverantwoordelijke. Een laatste voorbeeld betreft zorgaanbieders die in opdracht van een gemeente zorg leveren. Zij doen dit weliswaar in opdracht van de gemeente, maar bepalen zelf doel en middelen voor de concrete invulling van hun zorgtaken.

De verwerker verwerkt de gegevens aan de hand van de instructies van de verantwoordelijke zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens.

Als de verwerker zelf bepaalde details van de manier waarop de gegevens verwerkt worden bepaalt, wil dat niet zeggen dat de verwerker daarmee ook de “zeggenschap” krijgt over het doel van de verwerking van persoonsgegevens. Het bepalen van (sommige) details van de verwerkingswijze door de verwerker zal in de praktijk meestal komen door de deskundigheid, (keuze van de) apparatuur, bedrijfsvoering en de software van de verwerker.

Verantwoordelijke, verwerker of beide?

Het kan goed zijn dat jouw organisatie verantwoordelijke is voor de persoonsgegevens van het personeel, maar verwerker bij de diensten of producten die jullie aan klanten leveren. Of misschien dat jouw organisatie alleen bij bepaalde diensten die jullie leveren verwerker is en verantwoordelijke bij andere diensten of producten.

Soms is het onderscheid niet zo zwart-wit en kan je een discussie voeren over welke rol een organisatie heeft (verantwoordelijke of verwerker). Uiteindelijk is het belangrijkste dat de rechten en vrijheden van de betrokkenen gewaarborgd zijn en dat zij hun rechten effectief kunnen uitoefenen.

De gezamenlijke toezichthouders (Article 29 Working Party) heeft in 2010 al aangegeven dat de kwalificatie verantwoordelijke of verwerker feitelijk moet worden beoordeeld. Dus aan de hand van de feitelijke omstandigheden of een partij ervoor gekozen heeft om persoonsgegevens te verwerken voor eigen doelen en volgens eigen middelen. Daarbij kan een rol spelen hoe partijen zich naar buiten toe presenteren, hoe betrokkenen dit opvatten en wat er contractueel is afgesproken. De contractuele afspraken zijn overigens niet doorslaggevend, maar een indicatie van de rollen van partijen.

Gerelateerde berichten