Ken uw rol in de privacy-keten! Verwerkingsverantwoordelijke of verwerker?
Basisbegrippen Algemene verordening gegevensbescherming
Hoe worden bepaalde begrippen uit de Algemene verordening gegevensbescherming (‘AVG’) uitgelegd? ‘Persoonsgegevens’ zijn alle gegevens die (direct of indirect) betrekking hebben op een geïdentificeerde of identificeerbare persoon. Deze persoon wordt de ‘betrokkene’ genoemd. Onder ‘verwerken’ wordt verstaan iedere handeling met betrekking tot persoonsgegevens, vanaf de verzameling tot aan de vernietiging daarvan. Ook het enkele opslaan van persoonsgegevens valt onder ‘verwerken’.
Belang onderscheid verwerkingsverantwoordelijke en verwerker
De AVG onderscheidt een aantal ‘rollen’. De belangrijkste daarvan zijn de verwerkingsverantwoordelijke en de verwerker. Om uw rechten en verplichtingen te kennen moet u weten hoe uw organisatie in haar diverse rollen gekwalificeerd moet worden.
Voor verwerkingsverantwoordelijken gelden namelijk andere verplichtingen dan voor verwerkers. Zo moeten verwerkingsverantwoordelijken (o.a.) de betrokkenen informeren over de persoonsgegevensverwerkingen die zij uitvoeren, bijvoorbeeld via privacyverklaringen. Verwerkers mogen op hun beurt niet zonder toestemming van de verwerkingsverantwoordelijke werkzaamheden aan andere partijen uitbesteden. Inzicht hebben in uw privacy-rechtelijke rol geeft derhalve inzicht in de verplichtingen die uw organisatie heeft op grond van de AVG.
Bovendien legt de AVG partijen de verplichting op een verwerkersovereenkomst aan te gaan, op het moment dat er een verwerker betrokken is bij de verwerking van persoonsgegevens. Omdat hun rol onduidelijk is, of omdat zijn onvoldoende inzicht hebben in de wetgeving, sluiten partijen in sommige gevallen zekerheidshalve maar een verwerkersovereenkomst. Daarnaast zien wij dat in de praktijk vaak wordt aangenomen dat men een verwerker is zodra er persoonsgegevens van een andere partij worden ontvangen. Dat is echter lang niet altijd het geval. Het onnodig sluiten van een verwerkersovereenkomst kan risico’s met zich mee brengen. Enerzijds loopt u het risico de ‘verkeerde’ verplichtingen uit de AVG na te leven en mogelijk geen acht te slaan op de ‘juiste’ voor u geldende verplichtingen. Anderzijds kunt u wellicht de met de AVG botsende voorschriften uit de verwerkersovereenkomst niet naleven, met contractbreuk tot gevolg.
Verwerkingsverantwoordelijke of verwerker: hoe bepaalt u dat?
Wanneer bent u nou een verwerkingsverantwoordelijke en wanneer een verwerker? De definities uit de AVG luiden als volgt:
· verwerkingsverantwoordelijke is degene die bepaalt voor welk doel de persoonsgegevens worden verwerkt en met welk middel de verwerking wordt uitgevoerd;
· verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerker bepaalt per definitie niet het doel en de middelen van de persoonsgegevensverwerking.
Aan de hand van de volgende situaties wordt nader toegelicht hoe u in de praktijk kunt bepalen welke rol u bekleedt. Let op: uw organisatie kan voor verschillende soorten verwerkingen zowel verwerkingsverantwoordelijke als verwerker zijn. Deze rol dient per soort verwerking te worden vastgesteld.
Voorbeeld 1
U bent een aannemersbedrijf en wordt door een woningcorporatie ingeschakeld om huurwoningen te renoveren. U ontvangt van de woningcorporatie persoonsgegevens van huurders om afspraken in te plannen en de renovatiewerkzaamheden goed uit te kunnen voeren. Bent u dan verwerker voor de woningcorporatie? Nee, u verwerkt namelijk de persoonsgegevens niet slechts ten behoeve van de woningcorporatie. Om de renovatiewerkzaamheden bij de huurder goed uit te kunnen voeren (doel), heeft u de persoonsgegevens van de huurder nodig. U heeft ook zeggenschap over op welke wijze u deze persoonsgegevens verwerkt, administreert, opslaat, etc. (middel). De verwerking van persoonsgegevens is in dit kader een noodzakelijk uitvloeisel van uw primaire dienstverlening. U bent derhalve verwerkingsverantwoordelijke. Dat u de persoonsgegevens van de woningcorporatie ontvangt, doet daar niets aan af. In deze situatie zal sprake zijn van twee verwerkingsverantwoordelijken naast elkaar (u en de woningcorporatie), die ieder voor zich het doel en de middelen voor de persoonsgegevensverwerking bepalen. Het sluiten van een verwerkersovereenkomst is in dit geval niet vereist.
Voorbeeld 2
U bent leverancier van een online klantadministratiesysteem dat draait op uw servers. Uw afnemers slaan persoonsgegevens van hun klanten op in dit systeem. Feitelijk slaat uw organisatie de persoonsgegevens op ten behoeve van uw klant. Opslaan is een vorm van ‘verwerken’ van persoonsgegevens. In dit geval heeft u geen zeggenschap over het doel waar de afnemer de persoonsgegevens van haar klanten voor verwerkt. Deze zeggenschap ligt bij de afnemer, die bovendien bepaalt dat er voor de verwerking van persoonsgegevens gebruik wordt gemaakt van uw systeem (middel). Derhalve bent u in deze situatie een verwerker ten opzichte van de afnemer. In deze situatie zullen er dus verwerkersovereenkomsten gesloten moeten worden met uw afnemers.
Conclusie
Kortom, teken niet zomaar verwerkersovereenkomsten die u van uw leveranciers, klanten en/of derden ontvangt. Ook niet als die organisatie aan u persoonsgegevens verstrekt of omgekeerd. U bent niet in alle gevallen verwerker. Weten welke privacy-rechtelijke rol u in iedere afzonderlijke situatie heeft is van belang om compliance met de AVG te kunnen bewerkstelligen.
Meer informatie?
Neemt u gerust contact met ons op. Wij helpen u graag verder.