Legal

AVG: ben ik verwerker of verwerkingsverantwoordelijke?

Mr. Jan van Ederen Mr. Jan van Ederen

Goeie vraag

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e.

Deel 1 van deze serie ging over bewustwording en het bijhouden van een verwerkingsregister. In dit register neemt u ook op of uw organisatie de ‘verwerkingsverantwoordelijke’ of ‘verwerker’ over (een gedeelte van) de verzamelde persoonsgegevens is en of u verwerkers inschakelt. Bekijk dit goed om te weten of u verwerkersovereenkomsten moet opstellen en wees u er van bewust dat dit per situatie kan verschillen.

Verwerkingsverantwoordelijke

U bent verwerkingsverantwoordelijke als u het doel van en de middelen voor de gegevensverwerking vaststelt’. Oftewel u beslist waarom de persoonsgegevens worden verwerkt en hoe dat gebeurt. De verwerkingsverantwoordelijke heeft de zeggenschap over hetgeen wordt verwerkt, kan instructies geven voor de gegevensverwerking en heeft hierop feitelijke invloed. Het gaat hier vooral om wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met die gegevens gebeurt.

U bent bijvoorbeeld verwerkingsverantwoordelijke van de persoonsgegevens van uw personeel. U heeft het doel van de verwerking bepaald en beslist ook hoe deze wordt uitgevoerd.

De verwerker

Een verwerker ‘verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke’. Dit is niet altijd gemakkelijk te bepalen. Zo worden internet service providers, clouddienstverleners en callcenters die direct marketing voor een organisatie uitvoeren vaak als voorbeeld van een verwerker genoemd. Zij gebruiken de ontvangen persoonsgegevens alleen voor de doelen die de opdrachtgever als verwerkingsverantwoordelijke heeft bepaald.

Bij situaties die minder duidelijk zijn, moet er gekeken worden naar alle omstandigheden, zoals de mate van zeggenschap van de vermoedelijke verwerker (hoe hoger de zeggenschap, hoe groter de kans dat deze partij toch zelf verwerkingsverantwoordelijke is) en in welke mate deze partij verzamelde resultaten zelf kan gebruiken. Tussen twee partijen kunnen verschillende verhoudingen bestaan. Zo is de organisatie die de salarisadministratie verzorgt in die hoedanigheid verwerker.

Als er echter door dezelfde klant een controle-opdracht, zonder vastomlijnde instructie, bij een van haar accountants wordt neergelegd is de organisatie in dat geval aan te merken als verwerkingsverantwoordelijke.

Wat zet u in de verwerkersovereenkomst?

Als een verwerkingsverantwoordelijke een verwerker inschakelt, is het verplicht een verwerkersovereenkomst te sluiten. In de verwerkersovereenkomst worden over en weer afspraken gemaakt over de verwerking en op wie welke plicht rust. U neemt zoal op:

  • Het onderwerp en duur van de verwerking, vaak overeenstemmend met de ‘hoofdovereenkomst’ tussen de partijen.
  • De aard en het doel van de verwerking.
  • De soort(en) persoonsgegevens die worden verwerkt en de categorieën van betrokkenen.
  • De verplichting van de verwerker om de persoonsgegevens alleen ten behoeve van verwerkingsverantwoordelijke te verwerken.
  • Technische en organisatorische beveiligingsmaatregelen die zijn getroffen, waaronder een geheimhoudingsplicht en het beperken van de toegang tot de persoonsgegevens.
  • Afspraken over de inschakeling van sub-verwerkers, zowel binnen als buiten de EER.
  • De afhandeling van verzoeken van betrokkenen over hun persoonsgegevens, zoals inzage, correctie en verwijdering.
  • Het recht van audit en regelingen hieromtrent.
  • De plicht tot teruggave of wissen van de persoonsgegevens (voor zover de verwerker geen bewaarplicht heeft).
  • Aansprakelijkheid en vrijwaring.
  • Omgang met datalekken; in principe is de verwerkingsverantwoordelijke altijd verplicht datalekken te melden. Het is van belang kort te sluiten dat de verwerker datalekken altijd aan de verwerkingsverantwoordelijke meldt, zodat deze aan haar plicht kan voldoen.

Heeft u hulp of advies nodig bij het opstellen van een verwerkingsovereenkomst? Neem dan contact op met onze bedrijfsjuridisch adviseurs.

Gerelateerde artikelen