Missers in de AVG – Verwerkers en Verwerkingsverantwoordelijken

door | okt 4, 2018 | 0 Reacties

Verwerkers en Verwerkinsgverantwoordelijken

‘Deel 1 van 3 artikelen, over de missers in de AVG’

De AVG is nu anderhalf jaar van kracht. Nog steeds is het onderwerp ‘Verwerker of niet?’ één van de meest besproken onderwerpen. Er worden veel fouten gemaakt op dit gebied.

Verwerkers en Verwerkingsverantwoordelijken

 

Alle leveranciers zijn Verwerkers?

 

Er is veel verwarring over deze twee rollen. Bij veel bedrijven worden alle leveranciers gezien als Verwerker, zeker als de leverancier op de een of andere manier persoonsgegevens ontvangt. Omgekeerd wordt een hosting partij (een leverancier die servers in een datacenter aanbiedt) vaak weer niet gezien als een Verwerker, terwijl er wel persoonsgegevens op de servers worden verwerkt.

 

Een Bloemist is Verwerkingsverantwoordelijk

 

 Het klassieke voorbeeld van een fout op dit gebied, die niet alleen in lesboeken wordt vermeld, maar ook in de praktijk voorkomt, is de bloemist. Deze ontvangt van een bedrijf naam en adres van een zieke werknemer om bloemen te bezorgen plus een kaartje met “Van harte beterschap”. Het kaartje zegt iets over de gezondheidstoestand van de werknemer, dus is dat ook nog eens een bijzonder persoonsgegeven.

Is de bloemist nu een Verwerker, zoals zoveel bedrijven denken? Nee. De bloemist is een zelfstandig Verwerkingsverantwoordelijke. Hij heeft de persoonsgegevens nodig omdat hij anders zijn opdracht niet kan uitvoeren, namelijk het bezorgen van bloemen met een wens er aan vast. De bloemist krijgt geen opdracht om de zieke werknemers van de klant te beheren of te registreren.

Als bedrijf sluit je dan ook geen Verwerkersovereenkomst met de bloemist.

 

 

Wie is er nog meer geen Verwerker?

 

Ook de accountant en de advocaat zijn geen verwerkers. Ze ontvangen dan misschien wel persoonsgegevens, maar dat is niet omdat ze opdracht krijgen om deze persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken. Ze hebben opdracht om de financiën te controleren of een juridische zaak te behandelen. Hiervoor zijn dan wel persoonsgegevens nodig, maar net als de bloemist worden ze niet gevraagd specifiek de persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.

 

 

Wanneer is een leverancier dan wél Verwerker?

 

Een partij is Verwerker als er een geschreven opdracht is om persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.

In de vorige zin zijn er drie elementen uitermate relevant:

  1. Er moet sprake zijn van een opdracht om te verwerken, en die opdracht moet op papier staan (of op de een of andere manier electronisch, maar een gesproken opdracht telt niet).
  2. Het moet gaan om persoonsgegevens. Dit lijkt logisch, maar er kan meer onder deze noemer vallen dan vaak wordt gedacht. In een volgend blog zal ik aandacht besteden aan wát nu eigenlijk persoonsgegevens zijn.
  3. Er moet verwerkt worden namens de Verwerkingsverantwoordelijke. De verwerking wordt als het ware uitbesteed; je had het misschien ook zelf kunnen doen, maar kiest er voor om het uit te besteden aan een partij die het beter / sneller / efficiënter kan.

Denk bijvoorbeeld aan een salarisadministrateur. Deze krijgt expliciet de opdracht om de salarissen van werknemers te berekenen en daarover te communiceren met de klant.

Maar ook de ICT-beheerder die de servers beheert is een Verwerker. Zelfs als deze geen directe toegang heeft tot de gegevens, omdat die achter een wachtwoord verstopt zitten. Als de Verwerkingsverantwoordelijke de gegevens kan lezen, dan maakt het niet uit of de Verwerker dat kan of niet.

 

 

Hoe controleer je of je Verwerker bent?

 

Een aardige manier van toetsen of een bepaalde verwerking als Verwerker wordt uitgevoerd of niet is de volgende: als de overeenkomst tussen de Verwerkingsverantwoordelijke en de vermoedelijke Verwerker eindigt, blijven de persoonsgegevens dan bij de Verwerker bewaard, en mag deze zelfstandig iets met die gegevens doen? In dat geval is de Verwerker geen verwerker maar een Verwerkingsverantwoordelijke.

Om te bepalen of je Verwerker bent of niet, kun je ook proberen vast te stellen, wie er doel en middel vaststelt van de verwerking. Ontvang jij persoonsgegevens, maar ben jij de partij die bepaalt waarom en hoe de verwerkingen daarvan worden uitgevoerd, dan ben je de Verwerkersverantwoordellijke. Moet je handelen volgens duidelijke instructies van de andere partij, dan ben je Verwerker.

 

 

Kun je ook Verwerker én Verwerkingsverantwoordelijke tegelijk zijn?

 

 Ja, dat kan.

Elke organisatie die verwerker is, maar ook personeel in dienst heeft, is in ieder geval bijvoorbeeld Verwerkingsverantwoordelijke voor het uitbesteden van de salarisverwerking.

Maar je kunt ook in een schijnbaar ingewikkelder situatie zitten: je ontvangt persoongegevens van een andere partij, die je verwerkt namens die Verwerkingsverantwoordelijke. Maar tegelijkertijd geef je persoonlijke adviezen aan de mensen van wie je de gegevens hebt ontvangen. In dat geval ben je verwerker voor een deel van de verwerkingen, maar voor het verder verwerken ten behoeve van de advisering ben je Verwerkingsverantwoordelijke.

 

 

Wat voor overeenkomst moeten twee Verwerkingsverantwoordelijken sluiten?

 

Een Verwerkersovereenkomst tussen twee partijen die allebei Verwerkingsverantwoordelijk zijn, heeft geen betekenis. In een verwerkersovereenkomst regel je namelijk juist de hiërarchie die tussen de partijen bestaat.

 

Er zijn hier drie verschillende varianten:

 

  1. De twee partijen zitten in een concernrelatie. Bijvoorbeeld het hoofdkantoor, dat alle personeelszaken regelt voor de dochtermaatschappijen, is een Verwerkingsverantwoordelijke, maar ook de dochtermaatschappijen. Voor de verwerking van de persoonsgegevens moet in een overeenkomst worden geregeld.
  2. Verschillende partijen verzamelen samen persoonsgegevens, of ieder verzamelt voor zichzelf in een gezamelijke database. Ook in deze situatie vereist de AVG dat een en ander moet worden geregeld.
  3. De partijen hebben niets met elkaar te maken, maar de een ontvangt van de ander persoonsgegevens omdat de eerste anders zijn werk niet kan uitvoeren. Denk hierbij weer aan de bloemist, de accountant, de advocaat, enz. De AVG zegt niet wat je in deze situatie moet regelen. Feitelijk zou je niets hoeven te doen., behalve je verzekeren dat de partij waaraan je persoonsgegevens geeft wel een betrouwbare partij moet zijn.

 

Missers in de AVG

Dit is het eerste deel van “MIssers in de AVG”. Deel 2 gaat over het afschuiven van informatiebeveiliging.