Organisaties die persoonsgegevens van klanten in handen krijgen, moeten die gegevens verwerken. Denk bijvoorbeeld aan e-mailadressen, medische gegevens, geboortedata en IP-adressen. Organisaties kunnen het verwerken van die persoonsgegevens ook uitbesteden aan externe organisaties. De boekhouding kan bijvoorbeeld uitbesteed worden aan administratiekantoren. Zowel bij het uitbesteden als bij het zelf verwerken van persoonsgegevens moet de Algemene Verordening Gegevensbescherming (hierna: AVG) in acht genomen worden. De AVG beschermt persoonsgegevens. In het kader van de AVG spelen bij het verwerken of laten verwerken van persoonsgegevens de begrippen verwerkingsverantwoordelijke en verwerker een rol. Wat deze begrippen precies inhouden en wat de verschillen zijn, wordt in dit artikel besproken.
Wat is een verwerkingsverantwoordelijke?
Artikel 4, onderdeel 7 van de AVG geeft de definitie van een verwerkingsverantwoordelijke weer. Een verwerkingsverantwoordelijke kan een natuurlijk persoon, rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan zijn. Denk bijvoorbeeld aan een ziekenhuis, een onderwijsinstelling of een gemeente. De verwerkingsverantwoordelijke stelt alleen of samen met anderen vast met welk doel en met welke middelen de verwerking van persoonsgegevens plaatsvindt. Per geval kunnen die doelen en middelen verschillen.
Een voorbeeld van een verwerkingsverantwoordelijke is een onderwijsinstelling. Daar worden persoonsgegevens van onder andere leerlingen verwerkt. Denk aan een leverancier van online lesmateriaal. Leerlingen maken bijvoorbeeld oefenopgaven in de online omgeving van een leverancier, zoals Malmberg BV. De leverancier moet als verwerker zorg dragen voor de resultaten van leerlingen op die oefenopgaven. De onderwijsinstelling is verantwoordelijk voor de verwerking van persoonsgegevens van leerlingen. De onderwijsinstelling heeft immers bepaald hoe (via de online omgeving van de leverancier) en waarom (het terugontvangen door de onderwijsinstelling van leer- en toetsresultaten) de verwerking plaatsvindt.
In een schema ziet dat er als volgt uit:
Verwerkingsverantwoordelijke: Onderwijsinstelling X | De verwerkingsverantwoordelijke bepaalt dat Malmberg BV de leer- en toetsresultaten moet terugkoppelen naar de onderwijsinstelling. |
Verwerker: leverancier Malmberg BV | De verwerker Malmberg BV verwerkt de resultaten per leerling. |
Wat is een verwerker?
In het kader van de AVG wordt met een verwerker iemand bedoeld die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. Een verwerker kan net als een verwerkingsverantwoordelijke een natuurlijk persoon, rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan zijn. Een verwerker staat buiten de organisatie van de verwerkingsverantwoordelijke. Een verwerker kan bijvoorbeeld geen werknemer van de verwerkingsverantwoordelijke zijn.
Een voorbeeld van een verwerker is een accountant die de financiële administratie verzorgt in opdracht van een bedrijf. De accountant zal dan op instructies van de verwerkingsverantwoordelijke persoonsgegevens van klanten moeten verwerken. De instructies kunnen bijvoorbeeld betrekking hebben op het verwerken van facturen met naam- en adresgegevens.
Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?
Het kan lastig zijn te bepalen wie de verwerkingsverantwoordelijke en wie de verwerker is. Per opdracht kunnen er namelijk verschillende typen diensten een rol spelen. Per type dienst moet daarom uitgezocht worden wie de verwerker en wie de verwerkingsverantwoordelijke is.
Er volgt nu een voorbeeld die verduidelijkt dat uit één opdracht verschillende typen diensten kunnen voortvloeien met ieder een andere verwerkingsverantwoordelijke. Stel dat een administratiekantoor namens een advocatenkantoor boekhoudwerkzaamheden moet verrichten. De boekhoudwerkzaamheden bestaan uit het verwerken van factuurgegevens en contactgegevens van klanten. Ten eerste verwerkt het administratiekantoor de factuurgegevens in opdracht en volgens de instructies van het advocatenkantoor. Omdat het advocatenkantoor het doel en de middelen bepaalt, is het advocatenkantoor de verwerkingsverantwoordelijke. Het administratiekantoor is de verwerker, omdat de instructies van het advocatenkantoor opgevolgd moeten worden. Ten tweede verwerkt het administratiekantoor nieuwe contactgegevens van klanten. Stel dat het administratiekantoor op geheel eigen wijze nieuwe contactgegevens mag verwerken. In zo’n geval is het administratiekantoor geen verwerker, maar een verwerkingsverantwoordelijke.
Feitelijke omstandigheden
De feitelijke omstandigheden zijn beslissend voor de vraag wie verwerker is en wie verwerkingsverantwoordelijke. Bepaalt een partij hoe en waarom persoonsgegevens verwerkt moeten worden en wie er wel en niet bij de gegevens mogen komen, dan kan die partij al snel aangemerkt worden als de verwerkingsverantwoordelijke. Kijk daarom goed wie het initiatief en de leiding tot de gegevensverwerking neemt, oftewel wie de touwtjes in handen heeft.
Een tijdschrift, zoals Landleven, kan een marketingbureau inschakelen voor een reclamecampagne waarbij brieven naar het adres van leden worden verstuurd. Stel dat Landleven zelf de leiding neemt over bijvoorbeeld de inhoud en de manier van het versturen van de brieven. Afgesproken is dat het marketingbureau alleen zorg draagt voor het afdrukken en versturen van de brieven naar de leden. In deze situatie is het marketingbureau de verwerker en Landleven de verwerkingsverantwoordelijke.
Stel nu dat Landleven het marketingbureau de opdracht geeft om zonder verdere instructies een reclamecampagne op te zetten. Als het marketingbureau uit zichzelf kiest voor het versturen van de reclame via postadressen van leden, dan is het marketingbureau de verwerkingsverantwoordelijke. In deze situatie bepaalt het marketingbureau immers hoe en waarom de persoonsgegevens verwerkt moeten worden.
De verwerkingsverantwoordelijke is óók verwerker
Er doen zich situaties voor dat iemand zowel verwerkingsverantwoordelijke als verwerker is. Een salariskantoor verwerkt bijvoorbeeld salaris zowel voor zijn eigen werknemers als voor andere partijen. Bij het verwerken van uitbetaalde salarissen van eigen werknemers wordt het salariskantoor gezien als verwerkingsverantwoordelijke. Verwerkt het salariskantoor in opdracht en onder instructies van andere partijen salaris, dan is het salariskantoor een verwerker.
Geen verwerker
Er zijn gevallen denkbaar waarbij geen sprake is van een verwerker. Dit doet zich onder andere voor als de werkgever gegevens van werknemers verstrekt aan het UWV, bijvoorbeeld in geval van ziekte of langdurige arbeidsongeschiktheid. Het UWV verwerkt volgens artikel 30 lid 1 sub b van de Uitvoeringswet AVG persoonsgegevens van werknemers. Het UWV mag dit doen voor eigen doeleinden, omdat ze uitkeringen moeten beoordelen, toekennen en uitbetalen. Het UWV heeft namelijk een taak van algemeen belang, zoals het toekennen en uitbetalen van uitkeringen. Vandaar dat in zo’n situatie het UWV de verwerkingsverantwoordelijke is en er geen verwerker is. Dat het UWV een verwerkingsverantwoordelijke is en van een verwerker geen sprake is, verandert uiteraard niets aan het feit dat het UWV als verwerkingsverantwoordelijke zorgvuldig moet omgaan met de persoonsgegevens.
Voorbeeldlijst Autoriteit Persoonsgegevens
Heb je na het lezen van dit artikel nog steeds twijfels over wie de verwerkingsverantwoordelijke en wie de verwerker is? De voorbeeldlijst van de Autoriteit Persoonsgegevens bevat een handige checklist. In de voorbeeldlijst wordt een aantal situaties over de verwerkingsverantwoordelijke en de verwerker opgesomd. Hier wordt het voorbeeld genoemd van het inschakelen van een advocaat. In die situatie is de advocaat niet de verwerker maar de verwerkingsverantwoordelijke. Een klant geeft een advocaat immers niet de opdracht om persoonsgegevens te verwerken, maar om een juridische kwestie uit te zoeken. Advocaten die voor dat advies wel persoonsgegevens verwerken, zijn daar zelf verantwoordelijk voor.