Wanneer is een organisatie nu verwerker van persoonsgegevens en wanneer verwerkingsverantwoordelijke? En wat moet er precies in een verwerkersovereenkomst staan? De Autoriteit Persoonsgegevens zoomt hierop in.
Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Het uitbesteden van de boekhouding bijvoorbeeld. Of door een clouddienst te gebruiken die persoonsgegevens opslaat. Wie is verantwoordelijk voor de bescherming van de persoonsgegevens?
Een verwerkingsverantwoordelijke blijft verantwoordelijk voor de persoonsgegevens die hij verwerkt. Ook wanneer hij die verwerking uitbesteedt aan verwerkers. De klanten, burgers, patiënten et cetera hebben hun persoonsgegevens immers met jou gedeeld. En niet met je verwerkers.
Een verwerker heeft ook verantwoordelijkheden. Ook deze moet aan bepaalde AVG-regels voldoen. Opdrachtgevers mogen dat ook verwachten.
Zie Stroomschema Ben ik verwerker of verwerkingsverantwoordelijke?
Voorbeeld salarisgegevens verstrekken aan Belastingdienst
De werkgever verstrekt salarisgegevens van zijn werknemers aan de Belastingdienst.
Verwerker: geen van beide
Verwerkingsverantwoordelijke: de andere partij
Toelichting:
In de wet staat expliciet dat de Belastingdienst deze persoonsgegevens mag verwerken. De Belastingdienst is daarom geen verwerker, maar verwerkingsverantwoordelijke. De fiscus verwerkt de persoonsgegevens van de werknemers voor eigen doeleinden.
Voorbeeld zzp’er inhuren tijdens zwangerschapsverlof werkneemster
De werkgever huurt een zzp’er in om een van de werknemers te vervangen tijdens zwangerschapsverlof. De zzp’er werkt binnen de beveiligde (online) werkomgeving en heeft een geheimhoudingverklaring getekend.
Verwerker: geen van beide
Verwerkingsverantwoordelijke: jouw organisatie
De zzp’er valt in dit geval onder het rechtstreekse gezag van je organisatie en is daarom geen verwerker. Hij maakt tijdelijk deel uit van je organisatie waardoor er sprake is van intern beheer. Je blijft natuurlijk wel verantwoordelijk voor de persoonsgegevens die je verwerkt.
Zie voorbeeldlijst verwerker of verwerkersverantwoordelijke?
Verwerkingsverantwoordelijke én verwerker
Als je organisatie die andere organisatie de opdracht geeft persoonsgegevens te verwerken waarvoor je zelf verantwoordelijk bent, dan is je organisatie de verwerkingsverantwoordelijke en de andere organisatie de verwerker. Je moet dan een verwerkersovereenkomst afsluiten met die andere organisatie.
Is de organisatie waaraan je gegevens verstrekt geen verwerker, maar verwerkingsverantwoordelijke? Dan hoef je geen verwerkersovereenkomst met deze organisatie af te sluiten. Dit betekent ook dat deze organisatie zelf moet bepalen of de verwerkingen voldoen aan alle eisen van de AVG. Bijvoorbeeld of er een geldige grondslag is om de persoonsgegevens te verwerken.
Verwerkingsverantwoordelijke
Om te beoordelen of je verwerkingsverantwoordelijke bent, helpt het om te kijken of er sprake is van een van de volgende drie situaties:
1 Feitelijke invloed.
Jouw organisatie bepaalt met welk doel de persoonsgegevens worden verwerkt en de manier waarop dat gebeurt. De andere partij moet jouw instructies volgen. De gezagsverhouding kan bijvoorbeeld blijken uit de schriftelijke afspraken die je hebt gemaakt.
2 Uitdrukkelijke juridische bevoegdheid.
In de wet staat expliciet genoemd dat je organisatie bepaalde persoonsgegevens mag of moet verwerken.
3 Impliciete bevoegdheid.
In de wet staat niet expliciet benoemd dat je organisatie bepaalde persoonsgegevens mag of moet verwerken. Maar het ligt wel voor de hand dat je dat moet doen. Denk aan een werkgever die persoonsgegevens van zijn medewerkers verwerkt. Of een vereniging die de gegevens van haar leden verwerkt.
Datalek
Als de verwerker een datalek heeft met persoonsgegevens die hij in jouw opdracht verwerkt en gaat het om een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen, dan is het jouw verantwoordelijkheid om dat op tijd te melden. Een verwerker mag alleen datalekken bij de AP melden als je hem daarvoor hebt gemachtigd.
Verantwoordelijkheden verwerker
- Als verwerker moet je je volledig houden aan de instructies die je krijgt van de verwerkingsverantwoordelijke voor het verwerken van de persoonsgegevens, behalve als deze instructies in strijd zijn met de wet.
- Als verwerker moet je een verwerkersovereenkomst hebben. Daarmee kun je verantwoorden dat je persoonsgegevens mag verwerken en op welke manier.
- Je moet de persoonsgegevens passend beveiligen.
- Als verwerker mag je alleen persoonsgegevens uitbesteden aan subverwerkers als je daarvoor schriftelijke toestemming van de verwerkingsverantwoordelijke hebt.
- Bij een datalek met de persoonsgegevens die je in opdracht van een andere organisatie verwerkt, is het je plicht om de verwerkingsverantwoordelijke zo snel mogelijk te informeren.
- Als verwerker heb je onder de AVG ook een verantwoordingsplicht. Afhankelijk van de grootte van de organisatie moet je bijvoorbeeld een functionaris gegevensbescherming (FG) aanstellen. Of een verwerkingsregister bijhouden.
Lees meer over Verwerkers op de site van de Autoriteit Persoonsgegevens