Verantwoordelijke en verwerker

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. Zo'n andere organisatie heet een verwerker. De organisatie die de verwerker inschakelt, is de verwerkingsverantwoordelijke.

Op deze pagina

In de praktijk kan het soms lastig zijn om te bepalen of u verwerker of verwerkingsverantwoordelijke bent. Op deze pagina leest u hoe u dit aanpakt. Ook leest u wat de plichten zijn van de verantwoordelijke en van de verwerker.

Verwerkingsverantwoordelijke of verwerker?

De Algemene verordening gegevensbescherming (AVG) stelt verschillende eisen aan verwerkingsverantwoordelijken en verwerkers. Daarom is het belangrijk om dit onderscheid te maken.

Verwerkingsverantwoordelijke

U bent als organisatie verwerkingsverantwoordelijke als er sprake is van 1 van de volgende 3 situaties:

  1. Feitelijke invloed. Uw organisatie bepaalt met welk doel de persoonsgegevens worden verwerkt en de manier waarop dat gebeurt. De andere partij moet uw instructies volgen. De gezagsverhouding kan bijvoorbeeld blijken uit de schriftelijke afspraken die u heeft gemaakt. Bijvoorbeeld in de verwerkersovereenkomst. Maar uiteindelijk is doorslaggevend wie in de praktijk daadwerkelijk de beslissingen neemt.
  2. Uitdrukkelijke juridische bevoegdheid. In de wet staat expliciet genoemd dat uw organisatie bepaalde persoonsgegevens mag of moet verwerken.
  3. Impliciete bevoegdheid. In de wet staat niet expliciet benoemd dat u bepaalde persoonsgegevens mag of moet verwerken. Maar het ligt wel voor de hand dat u dat moet doen. Denk aan werkgevers die persoonsgegevens van hun medewerkers verwerken. Of verenigingen die de gegevens van hun leden verwerken.

Verwerker

U bent verwerker als u persoonsgegevens verwerkt in opdracht van een andere organisatie. U gebruikt deze persoonsgegevens niet voor eigen doeleinden.

Verwerkt u ook persoonsgegevens buiten de opdracht van de andere organisatie? Of verwerkt u de persoonsgegevens voor uw eigen doeleinden? Dan bent u als dienstverlener zelf de verwerkingsverantwoordelijke. U moet zich dan houden aan de eisen die gelden voor verwerkingsverantwoordelijken.

Als u een verwerker bent, moet u zich volledig houden aan de instructies van de organisatie die u de opdracht heeft gegeven om persoonsgegevens te verwerken. Maar dat is niet hetzelfde als rechtstreeks onderworpen zijn aan het gezag van de verwerkingsverantwoordelijke.

U werkt bijvoorbeeld onder rechtstreeks gezag als u gedetacheerd bent bij een andere organisatie. Er is dan sprake van intern beheer. En dus niet van een opdracht aan een externe partij.

Meer verwerkingsverantwoordelijken

Als u persoonsgegevens aan een andere organisatie verstrekt, betekent dat niet automatisch dat deze andere organisatie uw verwerker is. Het kan ook zijn dat u allebei verwerkingsverantwoordelijke bent, ook al gaat het om dezelfde persoonsgegevens. Dit wordt gezamenlijke verantwoordelijkheid genoemd.

De vraag wanneer de andere organisatie geen verwerker is maar verwerkingsverantwoordelijke, hangt af van waar de feitelijke invloed ligt op het doel en de middelen van de verwerking. Oftewel: wie bepaalt voor welk doel de persoonsgegevens worden verwerkt en hoe dit gebeurt?

De andere organisatie is ook verwerkingsverantwoordelijke als deze:

  • de door u verstrekte gegevens voor eigen, zelf bepaalde doeleinden gebruikt;
  • alleen de middelen van de verwerking bepaalt, maar dit wel essentiële aspecten zijn.

Is de organisatie waaraan u gegevens verstrekt geen verwerker, maar verwerkingsverantwoordelijke? Dan hoeft u geen verwerkersovereenkomst met deze organisatie af te sluiten.

Het betekent ook dat deze organisatie zelf moet bepalen of de verwerkingen voldoen aan alle eisen van de AVG. Bijvoorbeeld of er een geldige grondslag is om de persoonsgegevens te verwerken.

Plichten verwerkingsverantwoordelijke

Als verwerkingsverantwoordelijke blijft u ook verantwoordelijk voor de verwerkingen die u uitbesteedt. Uw klanten, patiënten of burgers hebben hun persoonsgegevens immers met uw organisatie gedeeld. Het is dus logisch dat u hun persoonsgegevens niet zomaar met een willekeurige andere organisatie mag delen.

Daarnaast heeft uw verwerker een aantal verantwoordelijkheden. Ook die moet aan bepaalde AVG-regels voldoen.

Eisen samenwerking verwerkers

Wilt u samenwerken met een verwerker? Dan moet u voldoen aan een aantal specifieke eisen van de AVG. Dat zijn onder meer:

  • U moet een betrouwbare verwerker kiezen die aan de regels van de AVG voldoet. U moet bijvoorbeeld zeker genoeg weten dat de verwerker passende maatregelen treft om de persoonsgegevens te beveiligen.
  • U moet een verwerkersovereenkomst sluiten met uw verwerker. In die overeenkomst maakt u onder meer afspraken over de precieze opdracht van de verwerking. En wat de verwerker wel en niet met de verstrekte persoonsgegevens mag doen.
  • Het is uw verantwoordelijkheid om ervoor te zorgen dat mensen hun privacyrechten kunnen uitoefenen. Ook al gaat het om verwerkingen die u heeft uitbesteed. In de verwerkersovereenkomst legt u de werkafspraken hierover vast met de verwerker.
  • Heeft uw verwerker een datalek met persoonsgegevens die de verwerker in uw opdracht verwerkt? En gaat het om een datalek dat gemeld moet worden aan de AP en de slachtoffers? Dan is het uw verantwoordelijkheid om dat op tijd te melden. Een verwerker mag alleen datalekken bij de AP melden als u de verwerker daarvoor heeft gemachtigd.
  • In ieder geval legt u in de verwerkersovereenkomst vast dat de verwerker u zo snel mogelijk op de hoogte stelt zodra deze een datalek ontdekt. Een verwerker is dat volgens de AVG ook verplicht.

Tot slot moet u als verwerkingsverantwoordelijke natuurlijk ook aan alle andere regels van de AVG voldoen.

Plichten verwerker

De verwerkingsverantwoordelijke blijft verantwoordelijk voor de verwerking die aan u is uitbesteed. Maar als verwerker heeft u ook een aantal eigen verantwoordelijkheden. Niet alleen de verantwoordelijke, maar ook u moet aan bepaalde AVG-regels voldoen. Opdrachtgevers mogen dat ook van u verwachten. U onderscheidt zich bovendien positief wanneer u laat zien dat u de regels uit de AVG kent en u daaraan voldoet.

Als verwerker heeft u onder de AVG een aantal specifieke verplichtingen:
 

  • U moet zich volledig houden aan de instructies die u krijgt van de verwerkingsverantwoordelijke voor het verwerken van de persoonsgegevens. Tenzij deze instructies in strijd zijn met de wet. Volgt u de instructies van de verantwoordelijke niet? Dan beschouwt de AVG u niet als verwerker, maar als verwerkingsverantwoordelijke. Met bijbehorende verplichtingen.
  • U moet een verwerkersovereenkomst hebben. Hiermee kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke.
  • U moet de persoonsgegevens passend beveiligen.
  • U mag alleen persoonsgegevens uitbesteden aan subverwerkers als u daarvoor schriftelijke toestemming van de verwerkingsverantwoordelijke heeft. De subverwerker moet minimaal hetzelfde niveau van gegevensbescherming bieden.
  • Heeft u een datalek met de persoonsgegevens die u in opdracht van een andere organisatie verwerkt? Dan is het uw plicht om de verwerkingsverantwoordelijke zo snel mogelijk te informeren. Deze heeft namelijk de plicht om bepaalde datalekken binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. En soms is een verwerkersverantwoordelijke ook verplicht om de slachtoffers te informeren.
  • U heeft een verantwoordingsplicht. Afhankelijk van de grootte van uw organisatie moet u bijvoorbeeld een functionaris gegevensbescherming (FG) aanstellen. Of een verwerkingsregister bijhouden.