Lisanne Meijerhof

advocaat

Lisanne is advocaat voor corporate litigation en stichtingen en verenigingen

lisanne.meijerhof@russell.nl
+31 20 301 55 55

Reinier Russell

managing partner

Reinier adviseert nationale en internationale bedrijven

reinier.russell@russell.nl
+31 20 301 55 55

AVG: Verwerker of verwerkingsverantwoordelijke, wat bent u?

Publicatiedatum 12 november 2018

Sinds de inwerkingtreding van de AVG schenden bedrijven massaal de nieuwe privacywetgeving. Dit komt deels door onwetendheid. Onder bedrijven heerst er veel verwarring over de termen verwerker en verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens. Dit kan leiden tot het onjuist invullen van de verplichte verwerkersovereenkomst.

persoonsgegevens - ubo

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze Europese privacyverordening bevat de regels voor het (automatisch) verwerken van persoonsgegevens. Inmiddels zijn er enkele maanden voorbij en blijkt dat bedrijven massaal en vaak onbedoeld de nieuwe wetgeving schenden. Met name is niet duidelijk wanneer men ‘verwerker’ van persoonsgegevens dan wel ‘verwerkingsverantwoordelijke’ is. Dit is vooral bij het plaatsen van een privacyverklaring en het sluiten van de verplichte verwerkersovereenkomst van groot belang. Hoe zit dit precies?

De Algemene verordening gegevensbescherming (AVG)

De nieuwe Europese privacywetgeving beoogt de privacy van burgers in de EU te beschermen. De AVG geldt voor alle bedrijven en instellingen binnen én buiten Europa die persoonsgegevens van inwoners van de EU bezitten of verwerken.

De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij verwerken, voor welk doel, met wie die persoonsgegevens eventueel worden gedeeld en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring op de website van de organisatie.

Wie is verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Deze beslist ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt.

Onder de AVG heeft de verwerkingsverantwoordelijke een verantwoordingsplicht, die inhoudt dat de organisatie moet kunnen aantonen dat deze aan de regels van de AVG voldoet. Onderdeel hiervan kan de eerdergenoemde privacyverklaring op de bedrijfswebsite zijn. Omdat vrijwel ieder bedrijf met persoonsgegevens werkt – al is het maar die van het eigen personeel – zult u al snel verwerkingsverantwoordelijke zijn.

Wie is verwerker?

De verwerker is de partij die door de verwerkingsverantwoordelijke is ingeschakeld om persoonsgegevens te verwerken. Hierbij bepaalt de verantwoordelijke ‘wat’ er moet gebeuren en ‘hoe’. Belangrijk hierbij is dat degene die deze verwerking uitvoert niet onder direct gezag van de verwerkingsverantwoordelijke staat. Een medewerker van de organisatie zelf wordt niet als verwerker gezien onder de AVG. Doorgaans is de verwerker een derde partij buiten de onderneming. Een paar (makkelijke) voorbeelden:

  • Een administratiekantoor dat wordt ingeschakeld om salarisuitbetalingen te verwerken.
  • Een clouddienst die IT-oplossingen aanbiedt.

Onder de AVG heeft de verwerker enkele nieuwe verplichtingen. Er moet toestemming worden gevraagd voor het in dienst nemen van een andere verwerker (zogenoemde ‘sub-verwerker’), datalekken moet worden gemeld en een verwerkingsregister moet worden bijgehouden.

Ook de terminologie is gewijzigd: in de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de ‘verwerker’ de ‘bewerker’ genoemd.

Lastige gevallen

Soms is het erg moeilijk te bepalen of u te maken heeft met een ‘verwerker’. Wat hierbij belangrijk is, is dat er moet worden ingeschat hoeveel eigen ruimte de dienstverlener heeft om te bepalen wat deze doet. Als verwerker heeft u namelijk geen zeggenschap over de verwerkingen. De verwerker mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies. Op het moment dat de verwerker zelfstandig beslissingen gaat nemen over de doelen van de verwerking en de middelen, dan wordt diegene zelf verantwoordelijk voor die (nieuwe) verwerkingen. Dit betekent dat het enkele feit dat u een opdracht krijgt van een verwerkingsverantwoordelijke niet voldoende is om al te spreken van ‘verwerker’.

Enkele voorbeelden:

  • Een cloud-aanbieder biedt een fitness-app voor bedrijven aan en verwerkt daartoe de gegevens van leden. De cloud-aanbieder is verwerkingsverantwoordelijke, omdat deze zelf bepaalt hoe en welke persoonsgegevens worden verwerkt en wat er mee wordt gedaan.
  • Een cloud-aanbieder biedt alleen opslag van gegevens aan. De cloud-aanbieder is verwerker, omdat deze de gegevens zal verwerken in opdracht en naar instructie van de verwerkingsverantwoordelijke.

Bepalend is dus: hoeveel ruimte heeft de dienstverlener om zelfstandig het doel en de middelen te bepalen voor de concrete invulling van de opdracht(en)?

Verwerkingsverantwoordelijke én verwerker

Organisaties kunnen zowel verwerker als verwerkingsverantwoordelijke zijn. Het bijvoorbeeld al genoemde salarisadministratiekantoor dat verwerker is van de gegevens van anderen, is verwerkingsverantwoordelijke voor de gegevens van het eigen personeel.

Verwerkersovereenkomst

Onder de AVG heeft de verwerker een aantal nieuwe zelfstandige verplichtingen gekregen. De belangrijkste daarvan – waar veel verwarring over heerst – moeten worden opgenomen in de verwerkersovereenkomst. De verwerkersovereenkomst heeft tot doel om de gegevensverwerking, uitgevoerd door de verwerker voor een verwerkingsverantwoordelijke, vast te leggen.

Zowel verwerkingsverantwoordelijke als verwerker kunnen worden aangesproken op het ontbreken van een overeenkomst. Dit betekent dat beide verplicht zijn om een verwerkersovereenkomst te sluiten, op straffe van een boete.

Inhoud verwerkersovereenkomst

Een verwerkersovereenkomst bestaat grotendeels uit verplichtingen die de verwerker heeft, namelijk:

  • Persoonsgegevens dienen uitsluitend te worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
  • Waarborgen dat werknemers die persoonsgegevens verwerken vertrouwelijkheid in acht nemen.
  • Passende technische en organisatorische maatregelen nemen ter beveiliging van de verwerking en waar mogelijk de verwerkingsverantwoordelijke hierbij helpen.
  • Toestemming vragen voor het in dienst nemen van een andere verwerker (“sub-verwerker”).
  • Verzoeken van de in de wet opgenomen rechten van de betrokkene beantwoorden.
  • Na afloop van de verwerkingsdiensten de persoonsgegevens verwijderen of terugsturen, en bestaande kopieën verwijderen.
  • Alle informatie ter beschikking stellen aan de verwerkingsverantwoordelijke bij inspecties of om diens inspanningsverplichting aan te tonen.

Daarnaast moet het volgende worden opgenomen in een verwerkersovereenkomst:

  • het onderwerp,
  • de duur van de verwerking,
  • de aard en het doel van de verwerking,
  • het soort persoonsgegevens,
  • de categorieën van de betrokkenen (de personen wiens gegevens worden verwerkt),
  • de rechten en plichten van de verwerker en de verwerkingsverantwoordelijke.

Lastige gevallen

In de praktijk is het voor bedrijven vaak onduidelijk wie de ‘verwerker’ is en wie ‘verwerkingsverantwoordelijke’. Het resultaat hiervan is dat in overeenkomsten de rollen worden omgedraaid en dat degene die opdracht geeft wordt benoemd tot ‘verwerker’. Beide hebben andere verantwoordelijkheden naar elkaar toe, daarom is het van uiterst belang om goed te bepalen of u verwerker bent of verwerkingsverantwoordelijke.

Boete bij overtreding

De AVG is inmiddels al een paar maanden van kracht. Onder de AVG zijn de verwerkingsverantwoordelijke en de verwerker beide verplicht om de bepalingen in de verordening na te leven. Als bedrijven (nog) niet voldoen aan de nieuwe wetgeving, kunnen deze als sanctie een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De hoogte van deze boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, indien deze hoger is.

Ons advies

  • Sluit altijd een verwerkersovereenkomst als u persoonsgegevens door een derde laat verwerken.
  • Win juridisch advies in als u niet zeker weet of u verwerker dan wel verwerkingsverantwoordelijke bent.

Meer informatie

Wilt u weten of uw bedrijf ‘AVG-proof’ is? Wilt u dat Russell Advocaten een verwerkersovereenkomst opstelt of uw bestaande overeenkomsten controleert? Neem dan contact met ons op.

    Bovenstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.

    Gerelateerde publicaties

    Is uw personeelsadministratie klaar voor de AVG?

    Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?

    Lees meer

    AVG: Overzicht nieuwe Europese regelgeving

    In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.

    Lees meer

    25 September 2024: Cybersecurity and Data Protection in Litigation

    Wednesday 25 September 2024, Reinier Russell will discuss cybersecurity and data protection in litigation at the European meeting of the World Litigation Forum in Barcelona.

    Lees meer

    Turboliquidatie

    Turboliquidatie is een snelle manier om een rechtspersoon te beëindigen. Van de regeling werd echter ook misbruik gemaakt, waardoor schuldeisers werden benadeeld. Een nieuwe wet moet dit voorkomen. Aan welke eisen dient een turboliquidatie voortaan te voldoen? En welke mogelijkheden hebben schuldeisers om hun vorderingen te innen?

    Lees meer

    4 stappen om een BV te beëindigen

    Ondernemers kunnen verschillende redenen hebben om te stoppen met hun onderneming. De verwachte winsten kunnen tegenvallen, een pensioen komt in zicht of er komt een einde aan een samenwerking (joint venture). Waar moeten ondernemers op letten bij het beëindigen van een onderneming?

    Lees meer

    Buitenlands vonnis in Nederland

    Het tenuitvoerleggen van vonnissen is in beginsel een nationale zaak. Maar hoe zit dit als het geschil al bij een buitenlandse rechter is behandeld. Kan dit buitenlandse vonnis in Nederland ten uitvoer worden gelegd of is dit niet mogelijk?

    Lees meer