Skip to main content

Veel organisaties worstelen er mee sinds de inwerkingtreding van de AVG: ben ik verwerkingsverantwoordelijke voor de gegevens die ik van een andere partij ontvang? Of toch verwerker? Lukraak worden er verwerkersovereenkomsten rondgestuurd. Maar wanneer is zo’n overeenkomst nu echt nodig? Dat is het onderwerp van dit blog.

Organisaties wisselen persoonsgegevens uit voor een enorm scala aan doelen. Het lijkt erop alsof de schaal en manieren waarop dat gebeurt met de inwerkingtreding van de AVG pas goed tot ons doordringen.

De AVG dwingt iedere organisatie tevens een keuze te maken over de rol waarin deze persoonsgegevens  aan een andere partij verstrekt of ontvangt. In de hoedanigheid van verwerkingsverantwoordelijke? Of als verwerker?

Het belang van het onderscheid

Waarom is dit van belang? Omdat de wettelijke verplichtingen van een (verwerkings)verantwoordelijke nogal verschillen van die van een verwerker. Heel algemeen is een verantwoordelijke de partij die het contact met de betrokkene onderhoudt en er op toe ziet dat zowel zijn eigen organisatie als zijn verwerkers zorgvuldig en conform de AVG verwerken. De verwerker werkt in opdracht van de verantwoordelijke en moet vooral voor adequate beveiliging van diens gegevens zorgen, in zijn eigen organisatie en bij zijn toeleveranciers (de “subverwerkers”). Alleen als een verantwoordelijke persoonsgegevens aan een verwerker verstrekt is het sluiten van verwerkersovereenkomst verplicht.

Vaak is het wel duidelijk wie verantwoordelijke is voor een verwerking. Een webshop (voor verwerking van klantgegevens), een ziekenhuis (voor verwerking van patiëntgegevens), een werkgever (voor verwerking van werknemersgegevens).

Van bepaalde dienstverleners is het ook direct duidelijk dat ze verwerker zijn. Voor aanbieders van hostingdiensten bijvoorbeeld.

Maar er blijken veel varianten te zijn die niet zo eenvoudig te “plotten” zijn. Vooral in een b2b relatie waarin de ene organisatie persoonsgegevens aan de andere verstrekt beschouwt de partij die niet de relatie met de betrokkene heeft zich vaak als een verwerker.

Geen eigen doel

Accountants, arbodiensten en werving- en selectiebureaus bijvoorbeeld. Ik merk dat zij vaak redeneren: wij ontvangen van onze opdrachtgever persoonsgegevens die we niet voor onze eigen doelen gebruiken dus zijn we verwerker.

Maar klopt dat wel?

Meerdere criteria

Of persoonsgegevens voor eigen doeleinden gebruikt worden is inderdaad van belang bij het maken van het onderscheid verwerkers – verantwoordelijken. Maar het is niet het enige criterium.

Als een organisatie gegevens verwerkt omdat dat voortvloeit uit een wettelijke plicht maakt dat deze bijvoorbeeld tot een verantwoordelijke. Dit had (notabene) een rechtbank, die zich, zo bleek uit een vonnis van 20 december 2018, als verwerker beschouwde, niet goed op het netvlies.

Een andere reden waarom een partij verantwoordelijke kan zijn is dat de primaire opdracht aan die partij niet gericht is op verwerking maar de verwerking slechts een bijkomstigheid is.

Ook het uitoefenen van veel autonomie over een verwerking, bijvoorbeeld ten aanzien van de gebruikte middelen of bewaartermijnen kan een partij tot verantwoordelijke maken.

Dit werpt een heel ander licht op de verwerking door accountants, arbodiensten en werving- en selectiebureaus. Voor zover de verwerking een bijkomstigheid is naast hun eigenlijke dienst zijn deze partijen verantwoordelijke. Als ze gegevens ontvangen van een andere verantwoordelijke is daarvoor dus geen verwerkersovereenkomst nodig.

Dubbelrol

Veel organisaties vervullen ook een dubbelrol. Soms bieden deze zelfde accountants, arbodiensten en werving- en selectiebureaus bijvoorbeeld standaard softwaretools aan die hun klant gebruikt voor gegevensverwerking. Dit is handig voor de klant. Hij hoeft zelf geen pakket aan te schaffen, de gegevens staan in de cloud en de gegevensuitwisseling loopt via de tool in plaats van (bijvoorbeeld) per e-mail. Voor die verwerking, waarbij de professional een passieve rol vervult die weinig met zijn eigen specialisme van doen heeft,  kan deze wel weer als een verwerker fungeren. En dan moet er dus een verwerkersovereenkomst worden gesloten.

Opdrachtgever is eenmanszaak

Maar wat als de klant die persoonsgegevens invoert in zo’n standaardapplicatie een eenmanszaak is? En veel van de in die softwaretool ingevoerde gegevens daarom niet alleen iets zeggen over de onderneming maar ook over (het inkomen van) de ondernemer als privépersoon? Naar mijn mening verschiet de aanbieder van de applicatie voor die verwerking dan weer van kleur, naar een verwerkingsverantwoordelijke.

Kortom, het al dan niet zijn van verantwoordelijke of verwerker hangt van veel aspecten af en kan per verwerking of per categorie klanten verschillen. De verwerkersovereenkomst is dan ook geen invuloefening maar moet vooral een weerspiegeling zijn van de realiteit.

Het is goed om uw organisatie goed door te (laten) lichten op dit punt. Alleen dan kan voorkomen worden dat er verwerkersovereenkomst worden gesloten die op een later moment tot niet-passende verplichtingen en aansprakelijkheden leidt.

Meer weten over hoe het onderscheid verwerkingsverantwoordelijke/verwerker in uw onderneming moet worden toegepast? Ik help u graag.

Deel dit artikel op social media

[social_buttons twitter=”true” linkedin=”true”]

Contact

met Legista

Stuur mij een bericht en ik neem zo spoedig mogelijk contact met u op.




    Voor informatie over verwerking van uw gegevens verwijs ik u naar mijn Privacyverklaring