Wanneer ondernemers of organisaties met elkaar contracteren en in dat kader persoonsgegevens worden verwerkt, is het niet altijd even duidelijk welke rollen de betrokken partijen aannemen onder de Algemene verordening gegevensbescherming (AVG). Bij de verwerking van persoonsgegevens kunnen bedrijven verschillende rollen vervullen: verwerkingsverantwoordelijke, verwerker, subverwerker of derde.
De laatste in de AVG omschreven rol, die van betrokkene, is niet weggelegd voor bedrijven, aangezien dit uitsluitend natuurlijke personen betreft: degene op wie de persoonsgegevens betrekking hebben. Met name de rollen van verwerkingsverantwoordelijke en verwerker zijn in de praktijk van groot belang, maar ook het meest complex. Een juiste kwalificatie is echter essentieel, omdat aan iedere rol specifieke rechten en verplichtingen zijn verbonden.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke wordt in artikel 4 sub 7 AVG gedefinieerd als:
“Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”
De verwerkingsverantwoordelijke bepaalt dus – kort gezegd – met welk doel persoonsgegevens worden verwerkt en op welke wijze. Wanneer meerdere partijen gezamenlijk het doel en de middelen vaststellen, kan sprake zijn van gezamenlijk verwerkingsverantwoordelijken. Doorslaggevend voor de kwalificatie als verwerkingsverantwoordelijke is echter niet wat partijen contractueel vastleggen, maar de feitelijke invloed op de verwerking. De partij die in de praktijk de beslissingen neemt, zal als verwerkingsverantwoordelijke worden aangemerkt.
Daarnaast kan een organisatie ook als verwerkingsverantwoordelijke kwalificeren wanneer zij niet zelf het doel bepaalt, maar op grond van wettelijke verplichtingen (impliciet of expliciet) persoonsgegevens moet verwerken.
De rol van verwerkingsverantwoordelijke brengt diverse verplichtingen met zich mee, waaronder het bijhouden van een register van verwerkingsactiviteiten, het treffen van passende technische en organisatorische beveiligingsmaatregelen, het voldoen aan de meldplicht datalekken en het waarborgen van de rechten van betrokkenen. Ook rust op de verwerkingsverantwoordelijke een bredere verantwoordelijkheid om aan te tonen dat de verwerking in overeenstemming is met de AVG. Een juiste rolbepaling is daarmee niet slechts een formaliteit, maar vormt de basis voor de naleving van de AVG.
Verwerker
De verwerker wordt in artikel 4 sub 8 AVG gedefinieerd als:
“Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.”
De verwerker verwerkt persoonsgegevens altijd in opdracht van de verwerkingsverantwoordelijke. In de praktijk kan de scheidslijn tussen beide rollen dun zijn, aangezien de verwerker – vaak als gespecialiseerde dienstverlener – veel kennis heeft van de technische en organisatorische inrichting van de verwerking. Dit betekent echter niet dat de verwerker eigen doelen mag nastreven. Zodra een verwerker persoonsgegevens verwerkt voor eigen doeleinden, kwalificeert hij voor die verwerking zelf als verwerkingsverantwoordelijke.
Alle verwerkingen door de verwerker moeten plaatsvinden onder het gezag van de verwerkingsverantwoordelijke, waarbij de instructies van laatstgenoemde leidend zijn.
Het komt regelmatig voor dat een verwerker op zijn beurt een andere partij inschakelt voor (een deel van) de verwerking. Deze partij kwalificeert dan als subverwerker. De oorspronkelijke opdrachtgever blijft verwerkingsverantwoordelijke, maar de verwerker is verplicht om de met de verwerkingsverantwoordelijke gemaakte afspraken op adequate wijze door te leggen naar de subverwerker. Dit vereist voorafgaande toestemming van de verwerkingsverantwoordelijke en duidelijke contractuele waarborgen. Hiermee wordt voorkomen dat de verwerking buiten het zicht en de controle van de verwerkingsverantwoordelijke plaatsvindt.
Enkele van de verplichtingen van de verwerker betreffen het treffen van passende technische en organisatorische maatregelen om de verwerking te laten voldoen aan de AVG, het waarborgen van de rechten van de betrokkene en het bijstaan van de verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen. Daarnaast is de verwerker gehouden om persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, passende beveiligingsmaatregelen te treffen en vertrouwelijkheid te waarborgen. Deze verplichtingen worden doorgaans nader uitgewerkt in een verwerkersovereenkomst, die een belangrijk instrument vormt om de verantwoordelijkheden en risico’s rondom de verwerking van persoonsgegevens op zorgvuldige wijze te verdelen.
Ter illustratie
“Bedrijf B schakelt softwareleverancier S in.”
In dit scenario is B over het algemeen aan te merken als verwerkingsverantwoordelijke. B heeft doorgaans een specifiek doel voor ogen waarvoor S wordt ingeschakeld. Ten behoeve van dit door B bepaalde doel worden persoonsgegevens verwerkt. Zodra S echter persoonsgegevens gaat verwerken voor niet door B vastgestelde doeleinden, is S zelf verwerkingsverantwoordelijke voor die specifieke verwerkingen. S heeft hier dan ook wel een zelfstandige grondslag voor nodig.
“Gemeente G contracteert bedrijf B, voor de inschakeling van softwareleverancier S.”
In deze situatie zal G in beginsel als verwerkingsverantwoordelijke kwalificeren. Indien B als tussenpersoon eveneens persoonsgegevens verwerkt, dient G een verwerkersovereenkomst te sluiten met B en dient B op zijn beurt een subverwerkersovereenkomst te sluiten met S. S kan echter ook rechtstreeks als verwerker van G worden aangemerkt, indien B zelf geen persoonsgegevens verwerkt. In dat geval moeten er wel rechtstreeks afspraken worden gemaakt tussen G en S over de verwerking van persoonsgegevens.
Waar ik je als advocaat bij kan helpen
De juiste kwalificatie als verwerkingsverantwoordelijke of verwerker is in de praktijk vaak minder eenvoudig dan op het eerste gezicht lijkt. Een onjuiste rolbepaling kan echter verstrekkende gevolgen hebben voor de verantwoordelijkheden en risico’s onder de AVG. Daarom is het verstandig om hierover tijdig juridisch advies in te winnen.
In mijn praktijk adviseer ik regelmatig over de verplichtingen van verwerkingsverantwoordelijken en verwerkers en over de vraag welke rol een organisatie in een concrete situatie inneemt. Daarnaast help ik bij het opstellen en beoordelen van privacygerelateerde documentatie, zoals verwerkersovereenkomsten, privacyverklaringen en interne beleidsstukken. Ook kan ik ondersteunen bij het juridisch duiden van samenwerkingen met dienstverleners waarbij persoonsgegevens worden verwerkt.
Wil je contact met mij opnemen, dan kun je tijdens kantooruren bellen (050-3140840) of mij mailen via bakker@boutadvocaten.nl. Ik denk graag met je mee over een praktische en juridisch houdbare inrichting van de verwerking van persoonsgegevens binnen jouw organisatie.
Andere vragen
Heb je na het lezen van deze blog nog andere vragen over privacyrecht of de AVG, dan adviseer ik daar uiteraard ook graag over. Ik kan je bijvoorbeeld helpen met:
- De inrichting van privacy governance. Denk aan de rolverdeling binnen de organisatie, interne procedures en verantwoordelijkheden rondom gegevensverwerking.
- Contractuele afspraken met ketenpartners. Hoe verhouden jouw afspraken met klanten, leveranciers en subverwerkers zich tot de AVG? Ik help bij het beoordelen van deze contractuele verhoudingen.
- Risicoanalyse en compliance. Welke privacyrisico’s spelen binnen jouw organisatie en hoe kun je deze juridisch en praktisch beheersen?
- Geschillen en handhaving. Ontstaat er discussie met een contractspartner of toezichthouder over de verwerking van persoonsgegevens, dan adviseer en procedeer ik hierover waar nodig.
Kortom, heb je vragen over jouw AVG-compliance? Neem gerust contact met mij op. Ik denk graag met je mee over de uitdagingen en keuzes waar jij als ondernemer mee te maken krijgt.
