Sinds de toepassing van de Algemene Verordening Gegevensbescherming (AVG) is één van de verplichtingen uit de AVG om als organisatie, op het moment dat je een andere organisatie inschakelt om voor jou persoonsgegevens te verwerken, dat je een verwerkersovereenkomst met de ingeschakelde partij afsluit. Een tweetal doelen hiervan zijn onder andere dat je als partij bepaalt en vastlegt welke persoonsgegevens er worden verwerkt en dat de ingeschakelde partij voldoet aan de wettelijke verplichtingen, waaronder dat persoonsgegevens bijvoorbeeld adequaat zijn beveiligd.
Voordat wij dieper ingaan op de afspraken binnen de verwerkersovereenkomst, is het noodzakelijk om eerst te bepalen welke positie je als partij hebt bij het afsluiten van een verwerkersovereenkomst: ben jij verwerkingsverantwoordelijke, mede-verwerkingsverantwoordelijke of ben je een verwerker? Het onderwerp mede-verwerkingsverantwoordelijke wordt op een later tijdstip in een aparte blog verder toegelicht.
Het is noodzakelijk om te weten of je als organisatie verwerkingsverantwoordelijke of verwerker bent. Als verwerkingsverantwoordelijke heb je immers meer verantwoordelijkheden dan een verwerker. Zo heb je als verwerkingsverantwoordelijke onder meer een informatieplicht tegenover de betrokken datasubjecten, dienen je verwerkingen een rechtmatige grondslag te hebben en ben je verantwoordelijk om de rechten van de betrokkenen te honoreren.
De definitie van een verwerkingsverantwoordelijke is te vinden in artikel 4, lid 7 AVG: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt(…)”
De verwerkingsverantwoordelijke bepaalt dus het doel van en de middelen voor de verwerking van persoonsgegevens. Een voorbeeld hierbij is een organisatie die een clouddienst afneemt om in een database klantgegevens op te slaan. De clouddienstaanbieder is hier logischerwijs de verwerker. Er zijn echter situaties denkbaar waarbij het onderscheid tussen verwerkingsverantwoordelijke en verwerker minder eenvoudig is vast te stellen. Een handige controlevraag om onderscheid te kunnen maken is volgens de Working Party, in opiniestuk 1/2010: ‘dat het kiezen van ‘de middelen’ niet alleen gaat over de technische manier waarop persoonsgegevens worden verwerkt, maar ook ‘hoe’ persoonsgegevens worden verwerkt:
De hoe-vraag kijkt verder dan enkel welke technische instrumenten er worden gebruikt bij de verwerking van persoonsgegevens. Indien je als organisatie het antwoord bepaalt op bovenstaande vragen, dan ben je (hoogstwaarschijnlijk) de verwerkingsverantwoordelijke.
In artikel 28 AVG staat de definitie van een verwerker. Wat er simpelweg staat is dat de verwerker ‘namens en in opdracht van de. verwerkingsverantwoordelijke persoonsgegevens verwerkt.’ In lid 3 staat vervolgens de verplichting en voorwaarden voor het afsluiten van een verwerkersovereenkomst.
Het belangrijkste bij het bepalen wie de verwerker is dat de verwerker in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. De verwerker heeft vaak zelf de autonomie om de middelen te bepalen voor de verwerking. Denk aan de clouddienstaanbieder die zelf bepaalt hoe zijn clouddienst technisch is opgebouwd en met welke partijen er wordt samengewerkt, bijvoorbeeld ten aanzien van de opslag van data in een datawarehouse.
Het is goed om even te benadrukken dat wanneer een verwerker buitenom de instructies van de verwerkingsverantwoordelijke verwerkingen verricht, de verwerker hiervoor kan worden aangemerkt als verantwoordelijke. De verwerker draagt dan de volledige verantwoordelijkheid op grond van de AVG. Hierover meer in deel twee van de blog.
Hieronder een viertal factoren (bron: WP 29, opiniestuk 1/2010) om nader te bepalen welke organisatie welke contractpositie bekleed:
Zoals hierboven vermeld staat in artikel 28, lid 3 AVG beschreven welke afspraken er minimaal in een verwerkersovereenkomst moeten worden vastgelegd. De volgende onderwerpen komen onder andere aan bod:
Volgende week vertel ik meer over de inhoudelijke afspraken binnen een verwerkersovereenkomst, valkuilen en tips bij het afsluiten van een verwerkersovereenkomst. Spoiler alert: je hoeft niet altijd met elke samenwerkende partij een verwerkersovereenkomst af te sluiten.
Het is niet altijd even makkelijk om te onderscheiden wie de verwerkingsverantwoordelijke is en wie de verwerker. Het is daarentegen wel heel belangrijk om onderscheid te maken, want de verantwoordelijkheden die liggen bij een verwerkingsverantwoordelijke zijn substantieel groter dan bij de rol van de verwerker.
Auteur: Rik Gerritsen