De AVG is kort over de begrippen verwerker en verwerkingsverantwoordelijke: een verwerkingsverantwoordelijke is de persoon of organisatie die het doel en de middelen van de verwerking vaststelt. En de verwerker is de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. U dient per verwerking te bekijken of u verwerkingsverantwoordelijke bent of verwerker.
In de praktijk blijkt dat het vaak erg moeilijk is om vast te stellen is of sprake is van een verwerker. De definitie van verwerker laat in twijfelgevallen namelijk beoordelingsruimte.
Een paar korte aanwijzingen:
- als u voor uw eigen organisatie verwerkt (denk aan de personeelsadministratie, de doorgifte van gegevens aan de Belastingdienst, UWV, pensioenuitvoerder etc.) dan bent u voor die gegevensverwerking altijd verwerkingsverantwoordelijke. Ook als de wetgever feitelijk bepaald heeft wat het doel is en als het UVW bepaalt welke middelen u dient te gebruiken om de gegevens aan te leveren.
- als u voor een andere organisatie persoonsgegevens verwerkt (of als u een derde inschakelt om persoonsgegevens namens u te verwerken) dan kan het zijn dat sprake is van verwerkerschap. Stelt u zich de vraag of de dienstverlening “primair gericht is op de verwerking van persoonsgegevens” of dat de dienstverlening meer omvat dan dat. Een voorbeeld van dienstverlening die primair gericht is op het verwerken van persoonsgegevens is bijvoorbeeld het hosten van persoonsgegevens in een cloud. Een voorbeeld van dienstverlening die niet primair gericht is op het verwerken van persoonsgegevens is verlenen van adviesdiensten.
- van sommige dienstverleners staat vast dat ze voor alle (voor dat beroep typische) verwerkingen verwerkingsverantwoordelijke zijn omdat de wetgever dit met zoveel woorden heeft aangegeven. Denkt u bijvoorbeeld aan advocaten of een telemarketingbedrijf dat zelf onderzoek verricht.
Soms zijn er zowel argumenten voor een status als verwerker als voor een status als verwerkingsverantwoordelijke te bedenken. Legt u in dat geval goed vast waarom u van mening bent dat sprake is van een verwerkerschap of verwerkingsverantwoordelijkheid. Mocht uiteindelijk blijken dat u er naast zat, dan kunt u in ieder geval laten zien dat u over de vraag heeft nagedacht en kunt u achterhalen welke argumenten u voor uw standpunt had.
Als blijkt dat u voor een bepaalde verwerking verwerker bent, of als u voor een bepaalde verwerking een verwerker inschakelt, dan verplicht de AVG u om een verwerkersovereenkomst te sluiten. In die verwerkersovereenkomst moeten afspraken worden opgenomen tussen verantwoordelijke en verwerker over hoe de verwerker met de aan hem verstrekte persoonsgegevens dient om te aan.
Als u als verwerkingsverantwoordelijke tezamen met een andere verwerkingsverantwoordelijke doel en middelen heeft bepaald dan is sprake van gezamenlijke verwerkingsverantwoordelijkheid. Ook dan dient u onderling een aantal afspraken te maken (onder meer over de het voldoen aan de informatieplicht en de uitoefening van rechten door betrokkenen) en deze schriftelijk vast te leggen.
De verplichting tot het sluiten van een schriftelijke overeenkomst bestaat niet als sprake is van twee separate verwerkingsverantwoordelijken (doel en middelen worden niet gezamenlijk bepaald).
1. Wat is de AVG (Algemene verordening gegevensbescherming)?
2. Wat moet ik concreet doen onder de AVG?
3. Wat is een verwerker? En wat is een verwerkingsverantwoordelijke?
4. Is een register van verwerkingen altijd vereist? En wat moet ik in zo’n register opnemen?
5. Is de AVG van toepassing op ZZP-ers?
6. Welke rechten hebben de personen van wie ik gegevens verwerk onder de AVG?
7. Wat zijn persoonsgegevens? En wat zijn bijzondere persoonsgegevens?
8. Wat is een datalek en hoe moet ik een datalek melden?
9. Als ik een datalek meldt, staat de toezichthouder (Autoriteit Persoonsgegevens) dan direct bij me op de stoep?
10. Wat moet ik opnemen in een datalekregister?
Neem contact op