Verwerkingsverantwoordelijke of verwerker? Het verschil.

Wederom veel ophef over dat bedrijven massaal de nieuwe privacywet zouden schenden. Zo kopten het FD en BNR vanmorgen. Dit zou onder meer komen door FG’s die van “toeten noch blazen zouden” weten en door verwarring over begrippen als ‘verwerker’ en ‘verantwoordelijke’. Begrippen die “onduidelijk” zouden zijn in de nieuwe AVG. Deze blog geeft een korte praktische uitleg over de twee belangrijkste normadressaten van de Europese privacyverordening.

Onduidelijkheid?

Dat die begrippen nu (nog) onduidelijk zijn is ergens wel opmerkelijk nu deze rollen onder de AVG niet anders zijn geworden dan onder de (oude) Wet bescherming persoonsgegevens (Wbp). Alleen toen hadden we het over ‘bewerker’ (nu verwerker) en ‘verantwoordelijke’ (nu verwerkingsverantwoordelijke; ja, onnodig een hele mond vol…). Niets nieuws onder de zon. Maar feit is dat menig organisatie door de AVG wel wakker is geworden dat zij meer aan gegevensbescherming moeten doen. En dat zij vervolgens struikelen over hun rol daarin is dan niet heel verrassend. Toch is het belangrijk om dit vast te stellen in het kader van aansprakelijkheid.

(Verwerkings)verantwoordelijke

De AVG zegt dat de verwerkingsverantwoordelijke de (rechts)persoon of organisatie is die “doel en middelen” van de gegevensverwerking bepaalt.[1] Kort gezegd is dit dus de organisatie die bepaalt voor welke doeleinden persoonsgegevens worden verwerkt; wie heeft de zeggenschap? Denk aan het bedrijf die producten en/of diensten aan consumenten levert en daarvoor bepaalde informatie van die consumenten nodig heeft (zoals namen en adressen, etc.), het ziekenhuis dat gegevens van patiënten heeft om zorg te kunnen leveren, maar ook elke organisatie die personeel in dienst heeft. Er is altijd een (of meerdere, gezamenlijke) verantwoordelijke voor de verwerking van persoonsgegevens.

De verwerkingsverantwoordelijke bepaalt waarom de gegevensverwerking plaatsvindt en heeft doorgaans het initiatief daartoe genomen. Meestal is dit aan de hand van de feiten goed te bepalen (wie heeft de feitelijke zeggenschap of invloed?), maar daarnaast kan deze verantwoordelijkheid ook voortvloeien uit een impliciete bevoegdheid (bijvoorbeeld die van een werkgever) of uitdrukkelijke juridische bevoegdheid (bijvoorbeeld de Belastingdienst). Ook is het de verwerkingsverantwoordelijke die doorgaans bepaalt met welke middelen die gegevensverwerking plaatsvindt. Het gaat dan niet alleen om technische middelen, maar ook op de wijze waarop de gegevens worden verwerkt, bijvoorbeeld welke gegevens worden verwerkt en wie daartoe toegang kunnen hebben, wanneer de gegevens worden gewist, enz.

Zeggenschap

Dus in de praktijk is een organisatie die zeggenschap heeft over de gegevensverwerking al snel verantwoordelijke. Maar hoe zit het dan met een verwerker? Mag die helemaal niks bepalen? In de praktijk zie je veel dienstverleners aan wie organisaties werk uitbesteden die best veel invloed hebben op de gegevensverwerking. Denk aan aanbieders van telecom- en hostingdiensten, pensioenaanbieders, salarisadministrateurs, arbo-diensten en leasemaatschappijen. Allemaal externe aanbieders met eigen specialistische dienstverlening.

Verwerker

Een verwerker is volgens de AVG (en daarvoor de Wbp) die ten behoeve van de verwerkingsverantwoordelijke, en onder diens verantwoordelijkheid, als ‘primaire opdracht’ persoonsgegevens verwerkt.[2] Een verwerker betreft een afzonderlijke (rechts)persoon, die geen deel uitmaakt van de organisatie van verwerkingsverantwoordelijke. Een werknemer binnen een organisatie of een onderdeel van een organisatie, bijvoorbeeld de IT-afdeling, wordt daarom niet gezien als verwerker maar maakt deel uit van de verwerkingsverantwoordelijke. In concernverhoudingen kan dit anders liggen.

Bij de verwerker is het altijd de vraag of deze de verwerking van persoonsgegevens uitvoert voor zichzelf of ten behoeve van de verantwoordelijke. Een hostingaanbieder zal in beginsel persoonsgegevens verwerking ten behoeve van en onder de verantwoordelijkheid van de verantwoordelijk. Maar wanneer die de persoonsgegevens ook gebruikt om interessante analyses uit te voeren (voor eigen doeleinden), dan verschiet zij van kleur en wordt zij als verwerkingsverantwoordelijke aangemerkt. Dit betekent echter niet dat een verwerker geen (maar nog steeds ten behoeve van de verantwoordelijke) belangrijke maatregelen (middelen) mag treffen om persoonsgegevens te beveiligen. Een bepaalde technische expertise maakt een verwerker dus nog geen verwerkingsverantwoordelijke. Dit is anders wanneer een verwerker voor veel (een ‘pluraliteit’ aan) verantwoordelijken diensten verricht en dus wel erg veel zeggenschap krijgt over de verwerking van die gegevens.

Wanneer een door de primair verantwoordelijke ingeschakelde externe partij zelf bepaalt hoe de opdracht wordt uitgevoerd en welke gegevens daarvoor nodig zijn (en dus zeggenschap heeft). Of wanneer de externe partij zelfstandig of rechtstreeks de dienst levert aan de betrokkene, kan het zo zijn dat die partij als verwerkingsverantwoordelijke wordt aangemerkt.

Verwarring door VenJ?

Mogelijk schuilt een stuk van de verwarring in de uitleg van het Ministerie van Veiligheid en Justitie in de ‘Handleiding Algemene verordening gegevensbescherming’. En hier lijkt ons ministerie ook verder te gaan dan de wet en het Europese privacy adviesorgaan, de European Data Protection Board (EDPB; voorheen WP29)[3]. In de handleiding wordt namelijk gesteld dat een organisatie als verwerker wordt gekwalificeerd wanneer zij de verwerking van persoonsgegevens als “primaire opdracht” heeft. Maar vaak wordt de primaire opdracht anders gezien of opgevat door organisaties, zoals wanneer er primair bepaalde producten of diensten worden geleverd en daarvoor noodzakelijkerwijs bepaalde persoonsgegevens nodig zijn. De verwerking van persoonsgegevens gaat onvermijdelijk gepaard met de dienst, zonder dat expliciet, primair opdracht is gegeven tot gegevensverwerking.

Niets nieuws onder de zon

Soms kan het uitkomst bieden om vast te stellen aan wie de dienstverlener zijn diensten verleent. Aan de opdrachtgevende organisatie? Dan zal de externe dienstverlener vaak slechts verwerker zijn. Rechtstreeks aan de betrokkene zelf? Dan zal de externe dienstverlener snel verantwoordelijke zijn. Waar het om gaat is dat de betrokkene in het maatschappelijk verkeer kan weten ten aanzien van wie hij zijn rechten desgewenst kan uitoefenen. 

Wat mij betreft kan uiteindelijk de aloude toets van de Europese toezichthouder nog het beste worden aangehouden: ‘wie heeft de uiteindelijke zeggenschap over (doel en middelen van) de gegevensverwerking?’. Toegegeven, in sommige situaties voor bepaalde organisaties even een puzzel, maar zeker niets nieuws onder de zon of verwarring door de AVG.

Robbert Santifort, advocaat privacyrecht

[1]Art. 4 (7) AVG

[2]Zie art. 4 (8) AVG en ‘Handleiding Algemene verordening gegevensbescherming’, Ministerie van VenJ, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf

[3]WP29, Advies 1/2010 over de begrippen ‘verantwoordelijke’ en ‘verwerker’, (WP169), 16 februari 2010, p. 21-28.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.