Verwerker of Verantwoordelijke: hoe kwalificeert mijn organisatie?

De Algemene Verordening Gegevensbescherming (AVG) maakt een onderscheid tussen verwerkers en verwerkingsverantwoordelijken. Onder bepaalde omstandigheden is het mogelijk dat partijen gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens. Na het lezen van deze blog weet je hoe jouw organisatie kwalificeert en aan welke verplichtingen daarbij horen.

Het nut van kwalificatie

Waarom wil je bepalen of jouw organisatie kwalificeert als een verwerker of een verantwoordelijke? Het belang van kwalificeren zit hem in de eisen uit de AVG. Het doel van de wet is namelijk om verantwoordelijkheid toe te wijzen aan een partij, op basis van de kwalificatie. Zo heeft een verwerker andere verplichtingen dan een verantwoordelijke en vice versa.          

Wanneer is mijn organisatie een Verantwoordelijke?

De verantwoordelijke stelt de belangrijkste elementen van de verwerking vast. De centrale vraag is wie überhaupt heeft besloten tot het verwerken van persoonsgegevens? Een partij wordt verantwoordelijke aangemerkt als het feitelijke invloed heeft, impliciet bevoegd is, of expliciet juridisch bevoegd is:

Feitelijke invloed
Een partij heeft feitelijk invloed op de verwerking van persoonsgegeven als hij het volgende bepaald bepaalt:

1. het doel van de verwerking ; en
2. de middelen die worden gebruikt om het doel te bereiken

De verantwoordelijke zal in ieder geval beslissen over de essentiële middelen. Dit zijn de middelen die sterk verband houden met het doel van de verwerking, zoals:

1. Het type persoonsgegevens;
2. De duur van de verwerking;
3. De categorieën ontvangers (wie heeft toegang); en
4. De categorieën betrokkenen

Contractuele afspraken
Contractuele afspraken kunnen iets zeggen over de feitelijke invloed van een partij. Stel dat jouw organisatie de opdracht geeft aan een software bedrijf om een website te bouwen. De opdracht vereist dat er persoonsgegevens worden verwerkt, waarvoor jullie een verwerkersovereenkomst aangaan. Uit de overeenkomst blijkt dat jouw organisatie het doel (website ontwikkelen) en de middelen (de software) van de verwerking vaststelt. Jouw organisatie kwalificeert zodoende als de verantwoordelijke. Het software bedrijf voert slechts de opgedragen werkzaamheden uit, en kwalificeert daardoor als een verwerker.

Impliciete bevoegdheid
In sommige situaties ligt het simpelweg voor de hand dat een bepaald(e) organisatie bepaalt dat – en hoe – er persoonsgegevens worden verwerkt. De functies en onderlinge verhoudingen tussen partijen spelen in dit kader vaak een belangrijke rol.

Denk bijvoorbeeld aan een werkgever die de gegevens van zijn of haar personeel verwerkt. Gezien de bevoegdheden van de werkgever, is het logisch dat de werkgever het doel en de middelen van de verwerking vaststelt. De werkgever wordt daarom standaard aangemerkt als een verantwoordelijke. Het is mogelijk dat de werkgever vervolgend derde partijen inschakelt voor het uitvoeren van bepaalde taken. Denk bijvoorbeeld aan de salarisadministratie van de werknemers. Als deze administratie door de werkgever wordt uitbesteedt aan een extern bedrijf, dan wordt dat bedrijf aangemerkt als de verwerker.
 

Expliciete juridische bevoegdheid
De wet benoemt in sommige gevallen expliciet dat een organisatie de taak heeft om persoonsgegevens te verwerken. Zo bepaalt de wet bijvoorbeeld dat de Belastingdienst verplicht is om in bepaalde gevallen persoonsgegevens te verwerken.

Voorbeeld 1: Service van Amazon

Het komt vaak voor dat grote bedrijven een gestandaardiseerde service aanbieden. Neem bijvoorbeeld Amazon: klanten kunnen gebruikmaken van de cloudopslag, door akkoord te gaan met de Terms of Service. De voorwaarden van Amazon bevatten standaard ook een Data Processing Addendum, met afspraken over het verwerken van persoonsgegevens van derden.

De afnemer van deze dienst bepaalt het doel (opslaan van data in de cloud) en de middelen (de diensten van Amazon), en wordt zodoende aangemerkt als de Verantwoordelijke. Amazon verwerkt de persoonsgegevens in opdracht van haar afnemers, en kwalificeert daardoor als Verwerker. Het feit dat Amazon een gestandaardiseerde dienst aanbiedt inclusief overeenkomst, heeft geen invloed op het kwalificatie vraagstuk. Ondanks dat Amazon eenzijdig de (verwerker)overeenkomst opstelt, blijft de afnemer van de dienst verantwoordelijk om – in lijn met de AVG – afspraken te maken over de verwerking van persoonsgegevens van haar klanten. Gaat de afnemer akkoord met de standaard voorwaarden van Amazon? Dan is ze daaraan gebonden en moet ze kunnen aantonen dat er aan de AVG wordt voldaan.  

Voorbeeld 2: Het geven van instructies

Uit gegeven instructies kan ook feitelijke invloed blijken, omdat een partij daardoor mogelijk het doel en de middelen van de verwerking vaststelt.

Een boekhouder krijgt van een bedrijf de opdracht om een audit uit te voeren, zonder verdere specifieke instructies. Aangezien het bedrijf geen instructies heeft gegeven, zal de boekhouder zelf het doel en de middelen van de verwerking bepalen – en zodoende als verantwoordelijke kwalificeren. Krijgt de boekhouder instructies om een audit uit te voeren volgens opgedragen richtlijnen voor een specifieke certificering? Dan kun je zeggen dat het bedrijf zelf het doel en de middelen vaststelt en daardoor als verantwoordelijke kwalificeert. De uitkomst van het kwalificatie vraagstuk kan dus verschillen afhankelijk van de gegeven instructies.

Wanneer is mijn organisatie een Verwerker?

De partij die persoonsgegevens verwerkt in opdracht van de Verantwoordelijke, wordt aangemerkt als de Verwerker. De volgende aspecten spelen een rol bij deze beoordeling:

1. Opdracht
   De verwerking moet in opdracht van de Verantwoordelijke worden uitgevoerd.

• De taak om persoonsgegevens te verwerken moet door de verantwoordelijke worden gedelegeerd aan de verwerker.
• De verwerker mag niet rechtstreeks onder het gezag van de verantwoordelijke vallen (zoals een werknemer).
• De verwerker mag de persoonsgegevens niet voor haar eigen doelen verwerken. In dat geval wordt de verwerker automatisch aangemerkt als verantwoordelijke.

2. Voordeel voor Verantwoordelijke
   Het verwerken van persoonsgegevens (door de Verwerker) moet in het voordeel strekken van de verantwoordelijke.

Gezamenlijke verantwoordelijkheid

Als partijen gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij aangemerkt als gezamenlijke verantwoordelijken. Er moet sprake zijn van een gezamenlijke deelname aan het bepalen van zowel het doel als de middelen. Als één partij het doel bepaalt en de andere partij de middelen vaststelt, dan is er geen sprake van gezamenlijke verantwoordelijkheid. Het enkele gebruik van een gezamenlijke database of infrastructuur heeft niet als consequentie dat partijen worden aangemerkt als gezamenlijk verantwoordelijk.

Consequenties van de kwalificatie

Verwerker of Verantwoordelijke

De AVG verplicht de verantwoordelijke en de verwerker om met elkaar schriftelijke afspraken te maken over het verwerken van persoonsgegevens. Het opstellen van een verwerkersovereenkomst, ook wel aangeduid als data processing agreement, ligt in deze situatie het meest voor de hand. Deze verwerkersovereenkomst bevat de maatregelen en procedures voor de desbetreffende verwerkingen, waarbij rekening wordt gehouden met de mogelijke risico’s. De AVG bepaalt niet welke partij de verwerkersovereenkomst moet opstellen: de verwerker, de verantwoordelijke of gezamenlijk. De verwerkersovereenkomst moet in ieder geval afspraken bevatten over:
 

• Het onderwerp van de verwerking;
• De duur van de verwerking (exacte periode of de relevante criteria);
• De aad van de verwerking (filmen, opnemen etc.)
• Het type persoonsgegevens die worden verwerkt (in detail); 
• De categorieën data-subjecten (bezoekers, werknemers, bezorgers etc.)
• De rechten en plichten van de verantwoordelijke. 
   

Gezamenlijk verantwoordelijk

Kwalificeert jouw organisatie als een gezamenlijk verantwoordelijke? Dan ben je verplicht om afspraken te maken met de medeverantwoordelijke over het verwerken van persoonsgegevens. Vaak stellen partijen dan een ‘Overeenkomst Gezamenlijke Verwerkingsverantwoordelijken’ op, ook wel aangeduid als een joint controller agreement.

Omdat partijen de verantwoordelijkheid delen, moeten er specifiek afspraken worden gemaakt over eventuele verzoeken van data subjecten. Als personen hun privacyrechten willen uitoefenen, dan moet het namelijk duidelijk zijn bij welke partij ze moeten aankloppen. De kwalificatie als gezamenlijke verantwoordelijken veronderstelt niet dat partijen de verantwoordelijkheden precies gelijk verdelen. Het is toegestaan dat een partij die over meer (financiële) middelen beschikt, ook relatief meer taken op zich neemt.
 

• De algemene privacy principes: doelbinding, minimalisatie, juistheid. 
• De juridische grondslagen voor de verwerking; 
• De beveiligingsmaatregelen;
• Datalekken;
• Risicomanagement (DPIA);
• De (internationale) doorgifte van persoonsgegevens;
• Het contactpunt richting autoriteit en data subjecten. 
   

Verwerkingen buiten Europa

Doe je zaken met partijen buiten de Europese Economische Ruimte? Dan gelden er speciale regels. Afhankelijk van het beschermingsniveau in een land, ben je mogelijk verplicht om de verwerkersovereenkomst aan te vullen. Vaak wordt de overeenkomst dan (deels) gebaseerd op standaardvoorwaarden die worden uitgegeven door de Europese Commissie, de zogenaamde Standard Contractual Clauses.  

Wil je graag worden geadviseerd over het kwalificatie vraagstuk of ben je op zoek naar een passende verwerkersovereenkomst? Neem dan contact op met Legalloyd Advocaten & Legal Tech. Wij hebben veel ervaring met het opstellen van privacy contracten en adviseren dagelijks start-ups, scale-ups en grown-ups over (strategische) privacy vraagstukken.