Nieuws, Blog en Publicaties

De advocaten van Russell Advocaten schrijven geregeld over actuele juridische ontwikkelingen. Hieronder vindt u een overzicht van onze blogs, nieuwsbrieven, boeken en artikelen.

Lees meer

Uw advocaat

mr. Guus van Lieshout
mr. Guus van Lieshout
advocaat

Guus van Lieshout adviseert als advocaat internationale en nationale ondernemers. Het zwaartepunt van zijn praktijk ligt bij ondernemingsrecht, maar hij houdt zich ook bezig met contracten, (bestuurders)aansprakelijkheid en aandeelhoudersgeschillen. Guus werkt op de sectie ondernemingsrecht van Russell Advocaten.

 

@: guus.vanlieshout@russell.nl
t: 020 - 301 55 55


AVG: Verwerker of verwerkingsverantwoordelijke, wat bent u?

Publicatiedatum: 12 november 2018

Verwerkersovereenkomst verplicht: kies de juiste rolDe nieuwe Europese privacywetgeving zorgt voor veel verwarring. Voldoet u al aan de AVG?

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze Europese privacyverordening bevat de regels voor het (automatisch) verwerken van persoonsgegevens. Inmiddels zijn er enkele maanden voorbij en blijkt dat bedrijven massaal en vaak onbedoeld de nieuwe wetgeving schenden. Met name is niet duidelijk wanneer men ‘verwerker’ van persoonsgegevens dan wel ‘verwerkingsverantwoordelijke’ is. Dit is vooral bij het plaatsen van een privacyverklaring en het sluiten van de verplichte verwerkersovereenkomst van groot belang. Hoe zit dit precies?
 

De Algemene verordening gegevensbescherming (AVG)

De nieuwe Europese privacywetgeving beoogt de privacy van burgers in de EU te beschermen. De AVG geldt voor alle bedrijven en instellingen binnen én buiten Europa die persoonsgegevens van inwoners van de EU bezitten of verwerken.

De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij verwerken, voor welk doel, met wie die persoonsgegevens eventueel worden gedeeld en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring op de website van de organisatie.
 

Wie is verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Deze beslist ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt.

Onder de AVG heeft de verwerkingsverantwoordelijke een verantwoordingsplicht, die inhoudt dat de organisatie moet kunnen aantonen dat deze aan de regels van de AVG voldoet. Onderdeel hiervan kan de eerdergenoemde privacyverklaring op de bedrijfswebsite zijn. Omdat vrijwel ieder bedrijf met persoonsgegevens werkt – al is het maar die van het eigen personeel – zult u al snel verwerkingsverantwoordelijke zijn.
 

Wie is verwerker?

De verwerker is de partij die door de verwerkingsverantwoordelijke is ingeschakeld om persoonsgegevens te verwerken. Hierbij bepaalt de verantwoordelijke ‘wat’ er moet gebeuren en ‘hoe’. Belangrijk hierbij is dat degene die deze verwerking uitvoert niet onder direct gezag van de verwerkingsverantwoordelijke staat. Een medewerker van de organisatie zelf wordt niet als verwerker gezien onder de AVG. Doorgaans is de verwerker een derde partij buiten de onderneming. Een paar (makkelijke) voorbeelden:

  • Een administratiekantoor dat wordt ingeschakeld om salarisuitbetalingen te verwerken.
  • Een clouddienst die IT-oplossingen aanbiedt.

Onder de AVG heeft de verwerker enkele nieuwe verplichtingen. Er moet toestemming worden gevraagd voor het in dienst nemen van een andere verwerker (zogenoemde ‘sub-verwerker’), datalekken moet worden gemeld en een verwerkingsregister moet worden bijgehouden.

Ook de terminologie is gewijzigd: in de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de ‘verwerker’ de ‘bewerker’ genoemd.

Lastige gevallen
Soms is het erg moeilijk te bepalen of u te maken heeft met een ‘verwerker’. Wat hierbij belangrijk is, is dat er moet worden ingeschat hoeveel eigen ruimte de dienstverlener heeft om te bepalen wat deze doet. Als verwerker heeft u namelijk geen zeggenschap over de verwerkingen. De verwerker mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies. Op het moment dat de verwerker zelfstandig beslissingen gaat nemen over de doelen van de verwerking en de middelen, dan wordt diegene zelf verantwoordelijk voor die (nieuwe) verwerkingen. Dit betekent dat het enkele feit dat u een opdracht krijgt van een verwerkingsverantwoordelijke niet voldoende is om al te spreken van ‘verwerker’.

Enkele voorbeelden:

  • Een cloud-aanbieder biedt een fitness-app voor bedrijven aan en verwerkt daartoe de gegevens van leden. De cloud-aanbieder is verwerkingsverantwoordelijke, omdat deze zelf bepaalt hoe en welke persoonsgegevens worden verwerkt en wat er mee wordt gedaan.
  • Een cloud-aanbieder biedt alleen opslag van gegevens aan. De cloud-aanbieder is verwerker, omdat deze de gegevens zal verwerken in opdracht en naar instructie van de verwerkingsverantwoordelijke.

Bepalend is dus: hoeveel ruimte heeft de dienstverlener om zelfstandig het doel en de middelen te bepalen voor de concrete invulling van de opdracht(en)?
 

Verwerkingsverantwoordelijke én verwerker

Organisaties kunnen zowel verwerker als verwerkingsverantwoordelijke zijn. Het bijvoorbeeld al genoemde salarisadministratiekantoor dat verwerker is van de gegevens van anderen, is verwerkingsverantwoordelijke voor de gegevens van het eigen personeel.
 

Verwerkersovereenkomst

Onder de AVG heeft de verwerker een aantal nieuwe zelfstandige verplichtingen gekregen. De belangrijkste daarvan – waar veel verwarring over heerst – moeten worden opgenomen in de verwerkersovereenkomst. De verwerkersovereenkomst heeft tot doel om de gegevensverwerking, uitgevoerd door de verwerker voor een verwerkingsverantwoordelijke, vast te leggen.

Zowel verwerkingsverantwoordelijke als verwerker kunnen worden aangesproken op het ontbreken van een overeenkomst. Dit betekent dat beide verplicht zijn om een verwerkersovereenkomst te sluiten, op straffe van een boete.

Inhoud verwerkersovereenkomst
Een verwerkersovereenkomst bestaat grotendeels uit verplichtingen die de verwerker heeft, namelijk:

  • Persoonsgegevens dienen uitsluitend te worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
  • Waarborgen dat werknemers die persoonsgegevens verwerken vertrouwelijkheid in acht nemen.
  • Passende technische en organisatorische maatregelen nemen ter beveiliging van de verwerking en waar mogelijk de verwerkingsverantwoordelijke hierbij helpen.
  • Toestemming vragen voor het in dienst nemen van een andere verwerker (“sub-verwerker”).
  • Verzoeken van de in de wet opgenomen rechten van de betrokkene beantwoorden.
  • Na afloop van de verwerkingsdiensten de persoonsgegevens verwijderen of terugsturen, en bestaande kopieën verwijderen.
  • Alle informatie ter beschikking stellen aan de verwerkingsverantwoordelijke bij inspecties of om diens inspanningsverplichting aan te tonen.

Daarnaast moet het volgende worden opgenomen in een verwerkersovereenkomst:

  • het onderwerp,
  • de duur van de verwerking,
  • de aard en het doel van de verwerking,
  • het soort persoonsgegevens,
  • de categorieën van de betrokkenen (de personen wiens gegevens worden verwerkt),
  • de rechten en plichten van de verwerker en de verwerkingsverantwoordelijke.

Lastige gevallen
In de praktijk is het voor bedrijven vaak onduidelijk wie de ‘verwerker’ is en wie ‘verwerkingsverantwoordelijke’. Het resultaat hiervan is dat in overeenkomsten de rollen worden omgedraaid en dat degene die opdracht geeft wordt benoemd tot ‘verwerker’. Beide hebben andere verantwoordelijkheden naar elkaar toe, daarom is het van uiterst belang om goed te bepalen of u verwerker bent of verwerkingsverantwoordelijke.
 

Boete bij overtreding

De AVG is inmiddels al een paar maanden van kracht. Onder de AVG zijn de verwerkingsverantwoordelijke en de verwerker beide verplicht om de bepalingen in de verordening na te leven. Als bedrijven (nog) niet voldoen aan de nieuwe wetgeving, kunnen deze als sanctie een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De hoogte van deze boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, indien deze hoger is.
 

Ons advies

  • Sluit altijd een verwerkersovereenkomst als u persoonsgegevens door een derde laat verwerken.
  • Win juridisch advies in als u niet zeker weet of u verwerker dan wel verwerkingsverantwoordelijke bent.
     

Meer informatie

Wilt u weten of uw bedrijf ‘AVG-proof’ is? Wilt u dat Russell Advocaten een verwerkersovereenkomst opstelt of uw bestaande overeenkomsten controleert? Neem dan contact met ons op.
 

Onderstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.
 

Velden met een * zijn verplicht

Blijf op de hoogte

Wilt u graag op de hoogte blijven van de actuele juridische ontwikkelingen?

Meldt u aan voor de nieuwsbrief

Of volg ons op LinkedIn

Bel mij

Vul hier uw naam en telefoonnummer in en wij bellen u zo spoedig mogelijk.
Onderstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.