FAQ

Terug naar overzicht
Privacyprofessional

Verwerkingsverantwoordelijke, verwerker, gezamenlijk verantwoordelijk, hoe zit het nu precies?

Verwerkersovereenkomst

Verwerkingsverantwoordelijke, verwerker of medeverantwoordelijke

Je kunt als bedrijf drie rollen hebben als het gaat om de verwerking van persoonsgegevens.

  • de enige verwerkingsverantwoordelijke
  • een medeverantwoordelijke (gezamenlijk verantwoordelijk)
  • een verwerker

Een organisatie kan meerdere rollen tegelijk hebben. Voor een aantal processen is het bedrijf de enige ‘verwerkingsverantwoordelijke’, voor andere processen misschien de ‘verwerker’ en mogelijk wordt er nog een activiteit uitgevoerd in de rol van ‘medeverantwoordelijke’.

De verdeling van verantwoordelijkheden moet je goed afspreken met de andere partijen met wie je gegevens uitwisselt. Tussen de verwerkingsverantwoordelijke en de verwerker geldt de verplichting om de afspraken schriftelijk vast te leggen (artikel 28, AVG). Ook bij gezamenlijke verwerkingsverantwoordelijkheid ben je dat verplicht (art. 26 AVG). Maar die rol kun je niet zomaar 'kiezen'.

Fundamentele AVG-rollen

Over de AVG-rol kun je niet onderhandelen. De AVG-rol volgt namelijk functioneel uit de werkelijkheid van de gegevensverwerking. Is een bepaalde rol voor een leverancier in kwestie dus onwenselijk, dan moet de gegevensverwerking zélf en dus de verleende dienst anders worden ingericht.

Hoe dan ook is het zo dat de feitelijke situatie doorslaggevend is bij het bepalen van de rolverdeling. Een verwerkersovereenkomst sluiten met een leverancier die zelf een verwerkingsverantwoordelijke is, maakt hem dus niet tot een verwerker. Verder moet zo’n leverancier zelf de AVG naleven en mag deze zich dus niet als een verwerker gedragen.

Hoe kun je nu bepalen wie welke rol heeft bij een gegevensverwerking? Om duidelijkheid aan te brengen onderscheidt de AVG fundamentele rollen. In de AVG staat het als volgt:

  • de verwerkingsverantwoordelijke is degene die (alleen of tezamen met anderen) “het doel van en de middelen voor de verwerking vaststelt
  • de verwerker is degene die “ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
  • als twee verantwoordelijken samen het doel en de middelen vaststellen, is sprake van medeverantwoordelijken, ook wel gezamenlijke verantwoordelijkheid.

Om te kunnen kwalificeren als verwerkingsverantwoordelijke is het niet noodzakelijk dat de partij toegang heeft tot de persoonsgegevens die worden verwerkt. Dus als je doel en middelen bepaalt, ben je verwerkingsverantwoordelijke, ook als je zelf geen beschikking over de persoonsgegevens hebt of krijgt.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is dus de baas over de verwerking (‘stelt doel en middelen vast’). De simpelste situatie is de organisatie die gegevens alleen verwerkt omdat dat nodig is om haar taak te vervullen of bedrijfsdoelen te behalen. Het is duidelijk dat zij dan zelf de verwerkingsverantwoordelijke is: een autodealer is dat voor de verkoop van een auto aan een klant en een werkgever voor de salarisgegevens van de werknemer.

Een goede vuistregel in dit soort gevallen is dat je een verwerkingsverantwoordelijke bent zodra je regie voert over de gegevensverwerking. Dat is in ieder geval wanneer je het doel (waarom?) en de middelen (wie, waar, wat, hoe en duur) van de verwerking bepaalt.

Verwerker

De kern van het zijn van verwerker is dat de leverancier de verwerking van de persoonsgegevens uitvoert namens de verwerkingsverantwoordelijke. Dat wil zeggen dat het verwerken van de persoonsgegevens de kernactiviteit is van de dienst die door de opdrachtgever wordt afgenomen.

Die kernactiviteit kan de gegevens zelf betrekken (bijvoorbeeld IT-hosting, salarisadministratie), maar het kan ook een activiteit betreffen die - naast andere activiteiten - hoofdzakelijk bestaat uit het verwerken van persoonsgegevens (bijvoorbeeld een enquêtebureau).

De verwerker volgt bij de uitvoering van de opdracht in beginsel de instructies van de verwerkingsverantwoordelijke. Dat wil zeggen, hij verwerkt de persoonsgegevens alleen ter uitvoering van de opdracht; voor al het andere heeft hij – liefst specifieke – schriftelijke instructies van de verwerkingsverantwoordelijke nodig. Hij mag de gegevens dus niet gebruiken voor zijn eigen of andermans doeleinden. Ook mag hij niet of maar heel beperkt beslissingen nemen over de gegevensverwerking, zoals welke persoonsgegevens worden verzameld en hoe lang de gegevens worden bewaard. Een verwerker wordt dus ook geen ‘eigenaar’ van de gegevens, het blijven de gegevens van de verwerkingsverantwoordelijke.

Tekst mede op basis van een advies van PMP.