Datum: 09 juli 2020
Geschreven door: Valerie Lipman
Leestijd: +/- 2 minuten
Wanneer persoonsgegevens worden verwerkt is daarop (meestal) de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Om te weten tot welke verplichtingen dit leidt, is het onder meer van belang om vast te stellen of er wordt gehandeld als verwerker of als verwerkingsverantwoordelijke. Dit zijn twee begrippen uit de AVG die nogal eens tot verwarring leiden. Dit heeft onder meer tot gevolg dat verwerkersovereenkomsten worden gesloten die niet nodig en onjuist zijn. Maar wat is precies het verschil tussen een verwerker en verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is diegene die bepaalt voor welk doel persoonsgegevens worden verwerkt en met welke middelen de verwerking plaatsvindt. Het is met andere woorden diegene die bepaalt wat er precies gebeurt.
Het kan zijn dat de verwerkingsverantwoordelijke een andere partij inschakelt om namens haar persoonsgegevens te verwerken. In dat geval is die andere partij verwerker. Van het zijn van verwerker is slechts sprake als die partij geen, of slechts minimale, zeggenschap heeft over de verwerking. Indien er naar eigen inzicht uitvoering kan worden gegeven aan de opdracht tot het verwerken van persoonsgegevens, is aan de vereisten om als verwerker te worden aangemerkt, niet voldaan.
Voor het beantwoorden van de vraag of iemand moet worden aangemerkt als verwerkingsverantwoordelijke of verwerker, is het handig om vast te stellen waarom de gegevensverwerking plaatsvindt en wie het initiatief daartoe heeft genomen.
Een voorbeeld van een verwerker is een ICT-bedrijf dat wordt ingeschakeld voor een reeds door de opdrachtgever volledig uitgedachte e-mailcampagne. Tenminste, indien dit ICT-bedrijf niet veel meer doet dan het versturen van door de opdrachtgever (de verwerkingsverantwoordelijke) opgestelde e-mails, aan door de opdrachtgever genoemde contacten, in de door de opdrachtgever genoemde periode.
Indien datzelfde ICT-bedrijf de opdracht krijgt om een succesvolle reclame campagne op te zetten en het ICT-bedrijf daarbij op eigen initiatief gebruik maakt van e-mail, is van het zijn van verwerker geen sprake. In die laatste situatie heeft het ICT-bedrijf te gelden als verwerkingsverantwoordelijke. In dat geval ziet de opdracht aan het ICT-bedrijf niet zozeer op het verwerken van persoonsgegevens als doel op zich, maar veel meer op het genereren van bekendheid.
Een ander voorbeeld is een beveiligingsbedrijf dat bewakingscamera’s plaatst en onderhoudt en haar klanten via haar website toegang tot de beelden geeft (dit betreft het verwerken van persoonsgegevens indien daarop personen zichtbaar zijn). Het beveiligingsbedrijf heeft te gelden als verwerker indien de klanten zelf bepalen: waar de camera’s worden opgehangen; op welke wijze en waar de beelden worden opgeslagen; hoe lang de beelden worden bewaard; wie daar toegang toe heeft; et cetera.
Wanneer datzelfde beveiligingsbedrijf de opdracht krijgt om een pand te beveiligen, eventueel door het gebruik van beveiligingscamera’s, is ineens sprake van een compleet andere situatie. In dat geval is het beveiligingsbedrijf verwerkingsverantwoordelijke, nu het beveiligingsbedrijf zelf bepaalt hoe zij de camera’s inzet. De opdracht is in dat geval ook gewijzigd van het verwerken van persoonsgegevens naar het beveiligen van een pand, waarbij het verwerken van persoonsgegevens niet langer de primaire opdracht is.
Het kan zijn dat bij het verwerken van persoonsgegevens meerdere partijen als verwerkingsverantwoordelijke zijn aan te merken. Indien zij gezamenlijk bepalen met welk doel de persoonsgegevens worden verwerkt en met welke middelen zij dat doen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Dit laatste zorgt ervoor dat zij afspraken moeten maken over hoe zij hun verplichtingen uit de AVG nakomen, met name voor wat betreft het verstrekken van informatie aan diegene van wie de persoonsgegevens worden verwerkt.
Indien er sprake is van een verwerkingsverantwoordelijke die een verwerker inschakelt, moeten er juist andere afspraken worden gemaakt. In dat geval moet er namelijk een verwerkersovereenkomst worden gesloten, welke onder meer waarborgt dat de verwerker de persoonsgegevens goed beveiligt en alleen verwerkt op basis van de door de verwerkingsverantwoordelijke gegeven instructies.
Komt u er, ook na het lezen van dit blog, niet uit of u nu als verwerkingsverantwoordelijke of verwerker heeft te gelden, of heeft u andere vragen over privacy, neem dan contact op met een van onze privacy advocaten.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.