Hoe bepaal je wie verwerkingsverantwoordelijke is?

Eerder heb je kunnen lezen hoe belangrijk het is om te weten of er sprake is van verwerking van persoonsgegevens en om te bepalen welke partij de verwerkingsverantwoordelijke en welke partij de verwerker is. Om je geheugen even op te frissen, beginnen we weer met de begrippen en een simpel voorbeeld: Verwerkersverantwoordelijke De verwerkingsverantwoordelijke is volgens AVG ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’. De verwerkingsverantwoordelijke bepaalt dus de middelen en de doeleinden waarmee persoonsgegevens worden verwerkt. Dit betekent dus dat indien jij/jouw onderneming bepaalt waarom en hoe persoonsgegevens worden verwerkt, je als verwerkingsverantwoordelijke kan worden aangemerkt. Verwerker Artikel 4 lid 8 AVG bepaalt dat de verwerker 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’ is. Wanneer je in opdracht van een andere onderneming persoonsgegevens verwerkt, ben je verwerker. Zodra je deze voor eigen doeleinden verwerkt, ben je zelf verwerkingsverantwoordelijke. Een voorbeeld: Wanneer jij als marketeer e-mailgegevens opvraagt of verzamelt van jouw klanten omdat je hen wilt mailen over jouw diensten en vervolgens het mailen zelf uitbesteedt aan een VA, ben jij verwerkingsverantwoordelijke en de VA Verwerker. Wanneer die VA zelf e-mails naar eigen klanten stuurt, is de VA ten opzichte van die persoonsgegevens zélf verantwoordelijke.

Onduidelijkheid Er zijn echter (veel!) situaties waarin het niet een twee drie duidelijk is welke partij nu welke rol vervult. Hoe kom je erachter welke partij welke rol vervult?

  • Uitdrukkelijke juridische bevoegdheid Soms blijkt het uit de wet wie de verwerkingsverantwoordelijke is. Hierbij moet je bijvoorbeeld denken aan de Belastingdienst. Die heeft vanuit de wet de juridische plicht om persoonsgegevens te verwerken.

  • Impliciete bevoegdheid Dit houdt in dat er geen wettelijke plicht tot het verwerken van persoonsgegevens bestaat maar dat het wel gangbaar is (in juridische woorden ‘maatstaven die gelden in het maatschappelijk verkeer’) dat een bepaalde partij persoonsgegevens verwerkt. Denk hierbij aan een werkgever die de gegevens van zijn/haar personeel verwerkt.

  • Feitelijke invloed En dan kan er nog naar de feitelijke invloed gekeken worden. In de uitleg van het begrip verwerkingsverantwoordelijke staat namelijk beschreven dat de verantwoordelijke de middelen en doeleinde bepaalt. Dit houdt in dat als jij bepaalt dát er persoonsgegevens moeten worden verzameld voor welk doel en op welke manier dit moet, jij als verwerkingsverantwoordelijke wordt gezien. Maar hoe beoordeel je die invloed dan? Je kunt bijvoorbeeld kijken welke afspraken er zijn gemaakt in e-mail correspondentie of andere overeenkomsten tussen partijen. Welke partij vraagt aan de andere partij om bepaalde gegevens te verzamelen met een bepaald doel? Hoewel dit al veel duidelijkheid kan scheppen, is het alsnog van belang om te kijken wie uiteindelijk de beslissingen neemt. De VA uit het voorbeeld kan jou bijvoorbeeld vragen om alle e-mailadressen aan haar te geven waardoor het lijkt alsof zij aan de touwtjes trekt. Maar uiteindelijk ben jij degene die het besluit heeft genomen óm jouw klanten te gaan mailen en hiervoor een VA in te schakelen. Jij bent dan dus de verantwoordelijke. Andere vragen die je kunt meenemen in jouw beoordeling zijn: wie bepaalt welke gegevens worden verwerkt? Wie bepaalt hoe lang deze gegevens worden bewaard en hoe deze worden gebruikt? Wie bepaalt welke systemen voor de opslag van persoonsgegevens worden gebruikt en of de gegevens wel/niet naar derde partijen en/of landen buiten de EU mogen worden verstrekt? Overigens is puur het hebben van een verwerkersovereenkomst waarin je bepaalt wie verwerkingsverantwoordelijke en wie verwerker is, niet doorslaggevend. Het gaat er dus echt om hoe partijen in de praktijk de gegevensverwerking uitvoeren!

Andere opties En dan vraag je je af of het toch allemaal best wel meevalt die AVG en dan blijken er nog veel meer mogelijkheden te zijn:

  • Meerdere verwerkingsverantwoordelijken Denk bijvoorbeeld aan een samenwerking tussen jou en een andere ondernemer. Samen maken jullie een website en huren hiervoor een ICT-er in. Persoonsgegevens van klanten worden tussen jullie gedeeld. Heel simpel gezegd zijn jullie in dit geval gezamenlijk verwerkingsverantwoordelijke (en is de ICT-er verwerker).

  • Sub-verwerkers Een verwerker kan ook weer een andere partij inhuren om hem te helpen bij de verwerking.

Kortom, vaak is het simpel en soms is het een behoorlijke klus om erachter te komen wie verantwoordelijke en/of (sub)verwerker is. Wij kunnen je daar uiteraard bij helpen! Heb je vragen of kun je wel wat hulp gebruiken? Bel 020 2157 465, ons team staat voor je klaar!