Verwerker en Verwerkingsverantwoordelijke
Bedrijven schakelen vaak een andere partij in om (persoons)gegevens voor hun te verwerken. Bijvoorbeeld door een automatiseerder in te schakelen of door een webdeveloper gegevens op de bedrijfssite te laten plaatsen.
Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. Kortom, als ICT-dienstverlener ben je vaak bezig als verwerker voor jouw opdrachtgevers.
De verwerkingsverantwoordelijke is en blijft verantwoordelijk voor de gegevens welke worden uitbesteedt aan een verwerker. Hun klanten, patiënten of bezoekers hebben immers (persoons) gegevens met hun gedeeld. Deze personen mogen dan ook verwachten dat hun gegevens niet zomaar met andere partijen worden gedeeld. Afspraken over de verwerking van gegevens dienen in een verwerkersovereenkomst te worden neergelegd. Zowel de verwerkingsverantwoordelijke als de verwerker hebben volgens de Algemene Verordening Gegevensbescherming (AVG) beide wettelijke verplichtingen waar ze zich aan dienen te houden.
Onderscheid Verwerker en Verwerkingsverantwoordelijke
In de praktijk is het soms lastig om beide rollen van elkaar de onderscheiden. Hoofdregel is dat degene die de doeleinden en middelen van de verwerking van gegevens bepaalt, degene is die als verwerkingsverantwoordelijke wordt aangemerkt. Een verwerker zal gegevens verwerken in opdracht van de verwerkingsverantwoordelijke, maar zal in deze rol niet de doeleinden en middelen van verwerking bepalen. De verwarring ligt in het feit dat de verwerker (bijvoorbeeld de automatiseerder of webdeveloper) vaak zelf de middelen bepaalt voor het verwerken van de gegevens. Zij hebben immers een systeem welke zij aanbieden voor het (vaak) automatisch verwerken van deze gegevens. Echter, is de verwerkingsverantwoordelijke uiteindelijk degene die de verwerker heeft uitgekozen om zijn opdracht uit te voeren en dus bepaalt de verwerkingsverantwoordelijke de doeleinden en middelen van de verwerking. De doeleinden van de verwerking dienen zo nauwkeurig mogelijk in de verwerkingsovereenkomst te worden opgenomen.
Gemeenschappelijke Verwerkingsverantwoordelijken
Er is sprake van gezamenijke verwerkingsverantwoordelijkheid wanneer twee of meerdere verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen. Bijvoorbeeld in het geval dat twee ondernemingen besluiten om niet alleen eventueel ‘’gecombineerde diensten” aan te bieden, maar ook een gemeenschappelijk platform te ontwerpen en te gebruiken, worden deze bedrijven gezien als gezamenlijke verwerkingsverantwoordelijken. Voor de vaststelling of sprake is van zelfstandige of gezamenlijke verwerkingsverantwoordelijkheid is dus bepalend de vraag of de verwerkingsverantwoordelijken voor een eigen doel persoonsgegevens verwerken of dat de verwerking door beiden voor een gezamenlijk doel plaatsvindt. In het eerste geval is het aan te raden afspraken over gegevensuitwisseling vast te leggen. In het geval van gezamenlijke verwerkingsverantwoordelijkheid is dat zelfs voorgeschreven.
Conclusie
Het is in de praktijk soms lastig om te bepalen of er sprake is van een verwerker of een verwerkingsverantwoordelijke in de zin van de AVG. Het is dan van belang om duidelijk te krijgen wie de doeleinden en middelen van de verwerking bepalen. Degene die dit bepaald wordt namelijk aangemerkt als verwerkingsverantwoordelijke en dient zich te houden aan bepaalde rechten en plichten. De verwerker heeft aan zijn zijde ook rechten aan plichten waar hij zich aan dient te houden. Deze afspraken worden vastgelegd in een verwerkersovereenkomst. Let ook altijd even op of partijen niet gezamenlijk als verwerkersverantwoordelijken kunnen worden aangemerkt.
Vragen over deze blog? Neem contact met ons op via juridisch@ictwaarborg.nl of via 088 7730073.