AVG: Verwerkingsverantwoordelijke en Verwerker

Deze blog is een samenvatting van de richtlijn van de European Data Protection Board (EDPB) over de termen verwerkingsverantwoordelijke en verwerker. Het is ons opgevallen dat veel organisaties met wie wij samenwerken nog moeite hebben met vaststellen wat hun rol is op grond van de AVG. Ook wordt er vaak onterecht vanuit gegaan dat elke partij met wie gegevens worden gedeeld verwerker is. Met dit overzicht hopen we meer inzicht te bieden in die verschillende rollen.

Verwerkingsverantwoordelijke en Verwerker: Wie zijn dit nou?

Wie verwerkt wat en wie is verantwoordelijk? En wat als de verwekingsverantwoordelijke zelf verwerkt? Is die dan ook verwerker? Deze termen uit de AVG lijken expres te zijn uitgekozen om door elkaar te halen, maar toch bestaat er een duidelijk verschil tussen de twee. Om ervoor te zorgen dat de AVG goed wordt toegepast, is het van belang om te weten wie er verantwoordelijk is voor de verwerking van persoonsgegevens en wie die gegevens daadwerkelijk verwerkt. Dit zorgt ervoor dat er door de juiste partijen verantwoording wordt afgelegd over de veilige en rechtmatige verwerking van persoonsgegevens. Daarnaast hebben beide partijen verschillende verplichtingen. Het verschil tussen de termen moeten we dus toch echt kennen.

De verwerkingsverantwoordelijke

Allereerst is het belangrijk om te weten wie er nu verantwoordelijk is voor de verwerking van de gegevens. Het korte antwoord: Dat kan iedereen zijn. Daar heeft niemand natuurlijk wat aan, maar gelukkig valt het toch nog wat af te bakenen. De basisregel is dat de verwerkingsverantwoordelijke het doel en de middelen bepaalt voor de verwerking van persoonsgegevens. Dit houdt in dat de verantwoordelijke keuzes heeft gemaakt over de belangrijkste aspecten van de verwerking, namelijk waarom die moet plaatsvinden en op welke manier. Dit is anders dan de verwerker, die dus niet het doel van de verwerking mag bepalen. Wel heeft de verwerker enige vrijheid om te bepalen hoe de verwerking plaatsvindt, maar toch valt er een duidelijk onderscheid te maken.

De verwerkingsverantwoordelijke maakt keuzes over de essentiële aspecten van de verwerking. Die bepaalt welke gegevens worden verwerkt en voor hoe lang, wie toegang heeft tot de gegevens en van wie die gegevens worden verzameld. Dit wordt allemaal bepaald aan de hand van de vraag of de verwerking wettelijk, noodzakelijk en proportioneelis. Hoewel het kan voorkomen dat één persoon of een groep personen verwerkingsverantwoordelijke zijn, komt het vaker voor dat een organisatie dat is. Dit geldt ook wanneer de organisatie een specifiek persoon of een afdeling binnen die organisatie toewijst om de taken van de verwerkingsverantwoordelijke uit te voeren. Het gaat er namelijk om dat de taken zijn uitgevoerd in de context van die organisatie en voor haar doelen.

Wie verantwoordelijk is kan in sommige gevallen worden afgeleid uit de wet. In de wettekst kan bijvoorbeeld worden opgenomen dat een specifiek orgaan bepaalde taken moet uitvoeren. Om die taken goed te kunnen uitvoeren moeten persoonsgegevens worden verwerkt. Een voorbeeld is wanneer gemeentelijke autoriteiten sociale uitkeringen moeten verstrekken. Persoonsgegevens moeten dan worden verwerkt om te bepalen wie geld ontvangt, zodat de verwerkingsverantwoordelijkheid van de gemeentelijke autoriteiten voortvloeien uit de wet. De verantwoordelijkheid kan echter ook worden afgeleid uit feitelijke handelingen. Dit is bijvoorbeeld het geval wanneer een entiteit persoonlijke data verwerkt als onderdeel van zijn interacties met werknemers of klanten, en daarbij bepaalt met welk doel de gegevens worden verwerkt.

Hoewel de verwerker, zoals eerder gezegd, enige vrijheid heeft om in te vullen hoe de gegevens precies worden verwerkt, blijft de verwerkingsverantwoordelijke verantwoordelijk voor het gebruik van veilige technieken. Het maakt niet uit of een entiteit daadwerkelijk toegang heeft tot de persoonsgegevens. Iemand die een verwerking uitbesteedt en daarbij keuzes maakt over het doel en de essentiële aspecten van de verwerking, is automatisch verwerkingsverantwoordelijke.

Je bent verwerkingsverantwoordelijke als je voldoet aan het totaal van de volgende vereisten:

1. Er worden Persoonsgegevens verwerkt
2. Je hebt het doel bepaald voor de verwerking van die gegevens
3. Je hebt de middelen bepaald voor die verwerking, met de nadruk op essentiële aspecten
4. Je draagt verantwoordelijkheid voor de veiligheid van die middelen

Let op:

• Als je een organisatie bent en een persoon of afdeling binnen de organisatie al deze keuzes heeft gemaakt, ben jij als organisatie nog steeds verwerkingsverantwoordelijke.
• Toegang tot de persoonsgegevens is niet verplicht.

De verwerker

Niet alleen is iemand verantwoordelijk voor de verwerking, maar je hebt ook die partijen die persoonsgegevens daadwerkelijk verwerken. Net zoals bij de verwerkingsverantwoordelijke, kan volgens de wet iedereen verwerker zijn. De belangrijkste uitzondering is eigenlijk de verwerkingsverantwoordelijke zelf. Ook al besluit de verwerkingsverantwoordelijke zelf alle verwerkingen te doen, toch kan die niet ook als verwerker worden gezien. Hetzelfde geldt voor de verwerkingsverantwoordelijke die binnen zijn organisatie personen aanwijst om gegevens te verwerken. Verwerkers zijn aparte entiteiten die niet behoren tot de organisatie van de verwerkingsverantwoordelijke. Dit kunnen zowel natuurlijke personen zijn als andere organisaties. Van belang is daarbij dat de entiteit namens de verwerkingsverantwoordelijke gegevens verwerkt.

Het verwerken van gegevens varieert van het verzamelen en opslaan tot het bewerken of zelfs vernietigen hiervan. Natuurlijk moet het specifiek gaan om de verwerking van persoonsgegevens om als verwerker in de zin van de AVG te worden gezien. Het is de verwerker niet toegestaan om gegevens te verwerken die niet in lijn zijn met de doelen en aanwijzingen van de verwerkingsverantwoordelijke. Wanneer de verwerker hiervan afwijkt, wordt die zelf beschouwd als verwerkingsverantwoordelijke en bestaat er een risico voor een sanctie. Een voorbeeld is wanneer bedrijf A het bedrijf B inhuurt om advertenties en promoties te sturen naar de klantendatabase van A. B besluit de klantendatabase echter ook te gebruiken voor het ontwikkelen van zijn eigen zakelijke activiteiten. Niet alleen wijkt B hierbij af van de doelen van verwerkingsverantwoordelijke A, zodat B zelf verantwoordelijk wordt, maar hij maakt ook inbreuk op de AVG.

Uiteindelijk moet per situatie worden gekeken of er sprake is van een verwerker. Het kan namelijk zo zijn dat een entiteit gegevens verwerkt zonder dat dit een inherent onderdeel is van de relevante diensten. Hierdoor kan het zo zijn dat die zelf moet bepalen wat het doel en de vorm van de verwerking moet zijn. In zo’n geval is de entiteit verwerkingsverantwoordelijke  .

Je bent verwerker als je voldoet aan het totaal van de volgende vereisten:

1. Je verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke
2. Je bent een andere partij dan de verwerkingsverantwoordelijke
3. Je hebt geen essentiële keuzes gemaakt over het doel en de middelen
4. Je maakt slechts niet essentiële keuzes voor de praktische verwerking van persoonsgegevens
5. Je mag niet afwijken van het doel en de middelen van de verwerkingsverantwoordelijke

Gezamenlijke verwerkingsverantwoordelijkheid

Als laatste kan het ook nog voorkomen dat meerdere entiteiten tegelijk verwerkingsverantwoordelijk zijn. Van belang hierbij is dat ze gezamenlijk het doel en de middelen voor de verwerking van persoonsgegevens hebben bepaald. Hierbij moet worden gekeken naar de feitelijke handelingen van partijen en dus niet naar de formele afspraken over de rollen van de partijen. Het feit dat iemands taak is vastgelegd in een contract weegt niet mee als die partij die taak niet werkelijk heeft uitgevoerd.

Meerdere partijen kunnen gezamenlijk verwerkingsverantwoordelijk zijn doordat ze gezamenlijke keuzes hebben gemaakt over de doelen en middelen. Hierbij valt niet duidelijk af te bakenen wie welk aspect heeft bepaald. Het gaat erom dat gezamenlijke overwegingen en besprekingen tot een gezamenlijke uitkomst hebben geleid. Aan de andere kant kan gezamenlijke verantwoordelijkheid ook ontstaan doordat elke partij afzonderlijk belangrijke keuzes heeft gemaakt over het doel en de middelen, die vervolgens tot één resultaat zijn samengesmolten. Een goede manier om te bepalen of dit proces heeft plaatsgevonden, is door na te gaan of de gegevensverwerking niet zou kunnen plaatsvinden zonder de input van één van de partijen. Als die wel kan plaatsvinden, dan zijn de keuzes van die partij niet relevant genoeg en kan die niet als verwerkingsverantwoordelijke worden beschouwd.

Net zoals het geval is bij één verwerkingsverantwoordelijke, maakt het niet uit of de partijen daadwerkelijk toegang hebben tot de persoonsgegevens. Ook hoeven partijen niet precies hetzelfde doel te willen bereiken. Het gaat erom dat de doelen van de verschillende partijen nauw verbonden zijn of complementair. Dit kan het geval zijn wanneer de partijen een wederzijds voordeel uit de verwerking verkrijgen. Een voorbeeld is een website operator die een sociale plug-in toevoegt aan een website ter promotie van producten. Het Hof van Justitie bepaalde dat de belangen van de website operator samenvallen met de maker van de plug-in, zodat zij gezamenlijk verwerkingsverantwoordelijk zijn.[1] Let wel op dat een overeenkomstig financieel doel niet voldoende is voor gezamenlijke verantwoordelijkheid. Opnieuw moet worden gekeken of één partij dezelfde gegevensverwerking kan bereiken zonder input van anderen, of dat de keuzes omtrent het doel en de middelen van verschillende partijen onlosmakelijk met elkaar verbonden zijn.

Je bent gezamenlijk verwerkingsverantwoordelijke als je essentiële keuzes hebt gemaakt over het doel en de middelen voor de verwerking van persoonsgegevens:

1. Met meerdere partijen gezamenlijk, of
2. Afzonderlijk waarbij de verschillende keuzes samenkomen tot één geheel

Test:

Als jouw keuzes omtrent het doel en de middelen wegvallen, kunnen de persoonsgegevens dan nog op dezelfde manier worden verwerkt?

• Nee? Jij bent een verwerkingsverantwoordelijke
• Ja? Jij bent niet een verwerkingsverantwoordelijke

Conclusie

In eerste instantie lijkt het verschil tussen verwerkingsverantwoordelijke en verwerker niet heel duidelijk. Toch zijn er duidelijke handvaten om ze van elkaar te onderscheiden. De verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. Meerdere entiteiten kunnen gezamenlijk verwerkingsverantwoordelijk zijn wanneer ze gezamenlijk keuzes hebben gemaakt over het doel en de middelen, en de verwerking niet zonder de input van één van die partijen kan plaatsvinden. De verwerker daarentegen is een onafhankelijke partij die de persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt. Hij maakt geen keuzes over het doel en slechts beperkte keuzes over de wijze van verwerking.

Hopelijk kan iedereen nu zien dat de gelijkenis van de termen slechts een fata morgana is.

[1] Fashion ID, C-40/17, ECLI:EU:2018:1039, par. 80

 

Hulp nodig?

Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met een van onze betrouwbare professionals via: info@cuccibu.nl of +31 (0) 85 3030 2984.