AVG

AVG: ben ik verwerker of verwerkingsverantwoordelijke?

  • 19 June 2024
  • Privacy
  • 0 Comments
  • backstagelegal

Waar er persoonsgegevens verwerkt worden, komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De AVG geeft betrokkenen bij een gegevensverwerking bepaalde rechten en organisaties bepaalde verplichtingen. Ook zij die niet op dagelijkse basis in aanraking komen met de AVG, kunnen op een bepaald moment toch partij worden bij een gegevensverwerking, als “verwerker” of “(gezamenlijk) verwerkingsverantwoordelijke”. Maar wat is het verschil? En waarom is dat eigenlijk belangrijk? We leggen het uit in deze blog.

Maakt het uit of ik verwerker of verwerkingsverantwoordelijke ben?

Als er meerdere partijen meewerken aan een gegevensverwerking, moeten er op grond van de AVG afspraken worden gemaakt over hoe er met de persoonsgegevens wordt omgegaan. De bekendste vorm van zo’n afspraak is een “verwerkersovereenkomst”, maar er zijn ook andere vormen. Wat voor overeenkomst je sluit en wat daarin dient te staan is afhankelijk van of partijen als verwerker(s) of verwerkingsverantwoordelijke(n) kwalificeren.

In veel gevallen wordt er echter helemaal niet stilgestaan bij de kwalificatie van partijen en wordt blindelings een verwerkersovereenkomst getekend. Dit is eigenlijk een beetje gek. Waarom? Dat is net zoiets als het sluiten van een artiestencontract, waarbij je niet zeker weet of je als artiest of label kwalificeert. En waar je eigenlijk ook niet weet of er nu opnames geëxploiteerd gaan worden of dat jullie eigenlijk gewoon samen een duet gaan zingen. Dat kan best moeilijk worden in de uitvoering. Als (gezamenlijk) verwerkingsverantwoordelijke heb je heel andere verantwoordelijkheden en verplichtingen dan de verwerker.

Het is belangrijk om eerst te kijken wat je rol is en dan pas afspraken op papier te zetten. Het juist identificeren van de rollen en hier naar handelen kan juridische moeilijkheden en potentiële boetes voorkomen. Een duidelijke rolverdeling helpt daarnaast bij het toewijzen van verantwoordelijkheid en aansprakelijkheid in geval van een datalek of andere inbreuken op de gegevensbescherming. Ook draagt het bij aan transparantie, zowel intern binnen organisaties als extern naar betrokkenen.

Ben ik voor de AVG verwerker of (gezamenlijk) verwerkingsverantwoordelijke?

Deze vraag is makkelijker gesteld dan beantwoord. Daarom heeft het European Data Board richtlijnen gepubliceerd om te kunnen bepalen of een entiteit als verwerker of (gezamenlijk) verwerkingsverantwoordelijke kwalificeert. De Autoriteit Persoonsgegevens heeft in dit kader een voorbeeldlijst gepubliceerd met verwerkers en verwerkingsverantwoordelijken. Helaas kan een rol in de realiteit soms net een beetje (of heel veel) afwijken van deze voorbeelden, waardoor je zelf een juridische exercitie moet (laten) uitvoeren.

Met de AVG bij de hand kom je al een heel eind:

  • de verwerkingsverantwoordelijke is de entiteit die het doel en de middelen van de gegevensverwerking vaststelt (artikel 4 lid 7 AVG);
  • de verwerker is de entiteit die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (artikel 4 lid 8 AVG). De verwerker verwerkt de persoonsgegevens niet (ook) voor eigen doeleinden;
  • gezamenlijk verwerkingsverantwoordelijken verwerken niet voor elkaar, maar stellen samen het doel en de middelen van een gegevensverwerking vast (artikel 26 AVG).

In de praktijk is het echter vaak niet zo zwart-wit. Bijvoorbeeld in het geval dat een marketingbureau persoonsgegevens niet alleen gebruikt om een goede marketingstrategie voor haar klant uit te rollen, maar ook om haar eigen AI-systeem hiermee te trainen. Of als een moederbedrijf analyses wil maken op basis van de persoonsgegevens van alle werknemers die voor het concern werken, maar de werknemers op papier niet bij haar, maar bij haar dochterbedrijf in dienst zijn. Het bepalen van de rollen kan aan de hand van de tekst van de AVG, de richtlijnen van de EDPB en jurisprudentie.

Wat doet een verwerkingsverantwoordelijke volgens de AVG?

De verwerkingsverantwoordelijke bepaalt dus het doel en de middelen van de verwerking. Daarnaast doet de verwerkingsverantwoordelijke het volgende:

  • de verwerkingsverantwoordelijke zorgt ervoor dat de gekozen verwerkers voldoende garanties bieden met betrekking tot de implementatie van passende technische en organisatorische maatregelen;
  • de verwerkingsverantwoordelijke geeft duidelijke en gedetailleerde instructies over hoe de persoonsgegevens moeten worden verwerkt;
  • de verwerkingsverantwoordelijke monitort en controleert de naleving van de verwerkersovereenkomst, bijvoorbeeld door middel van audits en inspecties;
  • de verwerkingsverantwoordelijke houdt een register bij van alle verwerkingsactiviteiten waarvoor zij verantwoordelijk zijn.

Een verwerkingsverantwoordelijke die bij verwerking is betrokken, is in beginsel op basis van de wet aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op de AVG.

Wat doet een verwerker?

De verwerker verwerkt persoonsgegevens uitsluitend namens de verwerkingsverantwoordelijke en volgens diens instructies. De verwerker heeft daarnaast de volgende verantwoordelijkheden:

  • de verwerker verwerkt persoonsgegevens alleen in overeenstemming met de instructies van de verwerkingsverantwoordelijke en mag deze gegevens niet voor eigen doeleinden gebruiken;
  • de verwerker moet passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen verlies, vernietiging of onrechtmatige verwerking;
  • de verwerker moet in sommige gevallen de verwerkingsverantwoordelijke ondersteunen bij de vervulling van diens verplichtingen, zoals het beantwoorden van verzoeken van betrokkenen en het melden van datalekken;
  • als de verwerker andere partijen inschakelt (sub-verwerkers), moet dit gebeuren met toestemming van de verwerkingsverantwoordelijke en moeten dezelfde gegevensbeschermingsverplichtingen worden opgelegd aan deze sub-verwerkers.

Een verwerker is in beginsel slechts aansprakelijk voor de schade die door verwerking is veroorzaakt als hij bij de verwerking niet heeft voldaan aan de specifiek tot hem gerichte verplichtingen van de AVG of hij buiten of in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke heeft gehandeld.

Wat doen gezamenlijk verwerkingsverantwoordelijken?

Gezamenlijk verwerkingsverantwoordelijken zijn twee of meer partijen die gezamenlijk de doelen en middelen voor de verwerking van persoonsgegevens bepalen. Gezamenlijke verwerkingsverantwoordelijken moeten onderling een regeling treffen waarin hun verantwoordelijkheden voor de naleving van de AVG worden vastgelegd.

Wat voor overeenkomst moet ik dan sluiten?

Het onderscheid tussen de verschillende overeenkomsten is belangrijk voor een correcte naleving van de AVG. Een verwerkersovereenkomst wordt gesloten tussen een verwerkingsverantwoordelijke en een verwerker. Wat daarin moet staan blijkt uit artikel 28, derde lid, van de AVG. In de verwerkersovereenkomst staan voornamelijk veel bepalingen die voortkomen uit de verplichtingen uit dit artikel. Hoe aan deze verplichtingen uitvoering dient te worden gegeven, kan wel per overeenkomst verschillen. Daarnaast worden er wat betreft aansprakelijkheid regelmatig aanvullende afspraken gemaakt.

Als partijen gezamenlijk verwerkingsverantwoordelijken zijn moeten zij onderling duidelijke afspraken maken over hun respectieve verantwoordelijkheden en verplichtingen. Dit kan in een gezamenlijk-verwerkingsverantwoordelijkenovereenkomst (of wat voor naam je er dan ook aan geven wil). Deze overeenkomst is minder in beton gegoten dan de verwerkersovereenkomst. Er moet in ieder geval duidelijk uit blijken welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen. Daarnaast moet duidelijk zijn wat hun respectieve verhouding met de betrokkenen is.

Ook twee of meerdere zelfstandig verwerkingsverantwoordelijken moeten een overeenkomst sluiten als zij persoonsgegevens met elkaar delen. Denk hierbij bijvoorbeeld aan een concertorganisator en een ticketbedrijf of een platenlabel en een concertpromotor. Hoewel zij in sommige gevallen onafhankelijk van elkaar de doelen en middelen van hun verwerkingen bepalen, is het belangrijk dat zij duidelijke afspraken maken over hoe zij omgaan met gedeelde persoonsgegevens. Deze afspraken helpen om de rechten van betrokkenen te beschermen en om te voldoen aan de verplichtingen van de AVG.

Tot slot

Het onderscheid tussen de verschillende rollen is belangrijk. Niet alleen zodat je weet wat voor overeenkomst je moet sluiten, maar ook zodat je weet welke verantwoordelijkheden je hebt. Het is echter niet altijd makkelijk om te bepalen welke rol je hebt bij een gegevensverwerking. Mocht je er echt niet uitkomen, dan kun je gelukkig altijd bij ons terecht. Wij kunnen je bij Backstage Legal helpen met het kwalificeren van de rollen en het opstellen van een passende overeenkomst.

Neem gerust contact op met onze privacydeskundigen. Wij helpen je bij het in goede banen leiden van jouw bedrijf.

Dit artikel is geschreven door Moo Miero.

backstagelegal

    Leave a Comment

    Your email address will not be published. Required fields are marked *

    This site uses Akismet to reduce spam. Learn how your comment data is processed.

  1. Backstage Legal

    Backstage Legal

  2. Tags

    agentuur as received atresmedia at source auteurscontractenrecht auteursrecht AV AVG ChatGPT consument contracts Copyright Digital Partnership fashion foto freelance general terms and conditions GTC mode model Modelling moo moo miero Music Music Sampling muziekuitgave muziekuitgever niet at source oneerlijke handelspraktijken opzeggen paralegal partner publisher publishing Record label disputes scout sena stage stagiair studentstagiaire synchronisatie talent scout uitgever verwerker werkstudent

    3. Auteursrecht voorbehouden, dus a.u.b. geen teksten en afbeeldingen enzo gebruiken zonder onze toestemming, ook niet voor tekst- en datamining | Backstage Legal is nadrukkelijk geen advocatenkantoor of samenwerkingsverband, maar een gezamenlijke handelsnaam van de bij dit collectief aangesloten partners. De partners van Backstage Legal werken voor eigen rekening en risico en nemen opdrachten aan en voeren deze uit via hun eigen onderneming. Backstage Legal heeft dan ook geen zeggenschap of eindverantwoordelijkheid over de praktijkuitoefening van de aangesloten partners, al hebben we natuurlijk wel kwaliteitseisen en -standaarden om de belangen van onze cliënten zo goed mogelijk te behartigen. Sorry-echt-sorry voor deze saaie, maar door de Nederlandse Orde van Advocaten verplichte mededeling. | Klachtenregeling | Contact