Heeft u het Webinar “Do’s en don’ts bij de zieke werknemer” gemist? Bekijk hier de opname!

AVG: Verwerker of verwerkingsverantwoordelijke, wat bent u?

Publicatiedatum 12 november 2018
Sinds de inwerkingtreding van de AVG schenden bedrijven massaal de nieuwe privacywetgeving. Dit komt deels door onwetendheid. Onder bedrijven heerst er veel verwarring over de termen verwerker en verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens. Dit kan leiden tot het onjuist invullen van de verplichte verwerkersovereenkomst.

persoonsgegevens - ubo

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze Europese privacyverordening bevat de regels voor het (automatisch) verwerken van persoonsgegevens. Inmiddels zijn er enkele maanden voorbij en blijkt dat bedrijven massaal en vaak onbedoeld de nieuwe wetgeving schenden. Met name is niet duidelijk wanneer men ‘verwerker’ van persoonsgegevens dan wel ‘verwerkingsverantwoordelijke’ is. Dit is vooral bij het plaatsen van een privacyverklaring en het sluiten van de verplichte verwerkersovereenkomst van groot belang. Hoe zit dit precies?

De Algemene verordening gegevensbescherming (AVG)

De nieuwe Europese privacywetgeving beoogt de privacy van burgers in de EU te beschermen. De AVG geldt voor alle bedrijven en instellingen binnen én buiten Europa die persoonsgegevens van inwoners van de EU bezitten of verwerken.

De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij verwerken, voor welk doel, met wie die persoonsgegevens eventueel worden gedeeld en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring op de website van de organisatie.

Wie is verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Deze beslist ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt.

Onder de AVG heeft de verwerkingsverantwoordelijke een verantwoordingsplicht, die inhoudt dat de organisatie moet kunnen aantonen dat deze aan de regels van de AVG voldoet. Onderdeel hiervan kan de eerdergenoemde privacyverklaring op de bedrijfswebsite zijn. Omdat vrijwel ieder bedrijf met persoonsgegevens werkt – al is het maar die van het eigen personeel – zult u al snel verwerkingsverantwoordelijke zijn.

Wie is verwerker?

De verwerker is de partij die door de verwerkingsverantwoordelijke is ingeschakeld om persoonsgegevens te verwerken. Hierbij bepaalt de verantwoordelijke ‘wat’ er moet gebeuren en ‘hoe’. Belangrijk hierbij is dat degene die deze verwerking uitvoert niet onder direct gezag van de verwerkingsverantwoordelijke staat. Een medewerker van de organisatie zelf wordt niet als verwerker gezien onder de AVG. Doorgaans is de verwerker een derde partij buiten de onderneming. Een paar (makkelijke) voorbeelden:

  • Een administratiekantoor dat wordt ingeschakeld om salarisuitbetalingen te verwerken.
  • Een clouddienst die IT-oplossingen aanbiedt.

Onder de AVG heeft de verwerker enkele nieuwe verplichtingen. Er moet toestemming worden gevraagd voor het in dienst nemen van een andere verwerker (zogenoemde ‘sub-verwerker’), datalekken moet worden gemeld en een verwerkingsregister moet worden bijgehouden.

Ook de terminologie is gewijzigd: in de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de ‘verwerker’ de ‘bewerker’ genoemd.

Lastige gevallen

Soms is het erg moeilijk te bepalen of u te maken heeft met een ‘verwerker’. Wat hierbij belangrijk is, is dat er moet worden ingeschat hoeveel eigen ruimte de dienstverlener heeft om te bepalen wat deze doet. Als verwerker heeft u namelijk geen zeggenschap over de verwerkingen. De verwerker mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies. Op het moment dat de verwerker zelfstandig beslissingen gaat nemen over de doelen van de verwerking en de middelen, dan wordt diegene zelf verantwoordelijk voor die (nieuwe) verwerkingen. Dit betekent dat het enkele feit dat u een opdracht krijgt van een verwerkingsverantwoordelijke niet voldoende is om al te spreken van ‘verwerker’.

Enkele voorbeelden:

  • Een cloud-aanbieder biedt een fitness-app voor bedrijven aan en verwerkt daartoe de gegevens van leden. De cloud-aanbieder is verwerkingsverantwoordelijke, omdat deze zelf bepaalt hoe en welke persoonsgegevens worden verwerkt en wat er mee wordt gedaan.
  • Een cloud-aanbieder biedt alleen opslag van gegevens aan. De cloud-aanbieder is verwerker, omdat deze de gegevens zal verwerken in opdracht en naar instructie van de verwerkingsverantwoordelijke.

Bepalend is dus: hoeveel ruimte heeft de dienstverlener om zelfstandig het doel en de middelen te bepalen voor de concrete invulling van de opdracht(en)?

Verwerkingsverantwoordelijke én verwerker

Organisaties kunnen zowel verwerker als verwerkingsverantwoordelijke zijn. Het bijvoorbeeld al genoemde salarisadministratiekantoor dat verwerker is van de gegevens van anderen, is verwerkingsverantwoordelijke voor de gegevens van het eigen personeel.

Verwerkersovereenkomst

Onder de AVG heeft de verwerker een aantal nieuwe zelfstandige verplichtingen gekregen. De belangrijkste daarvan – waar veel verwarring over heerst – moeten worden opgenomen in de verwerkersovereenkomst. De verwerkersovereenkomst heeft tot doel om de gegevensverwerking, uitgevoerd door de verwerker voor een verwerkingsverantwoordelijke, vast te leggen.

Zowel verwerkingsverantwoordelijke als verwerker kunnen worden aangesproken op het ontbreken van een overeenkomst. Dit betekent dat beide verplicht zijn om een verwerkersovereenkomst te sluiten, op straffe van een boete.

Inhoud verwerkersovereenkomst

Een verwerkersovereenkomst bestaat grotendeels uit verplichtingen die de verwerker heeft, namelijk:

  • Persoonsgegevens dienen uitsluitend te worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
  • Waarborgen dat werknemers die persoonsgegevens verwerken vertrouwelijkheid in acht nemen.
  • Passende technische en organisatorische maatregelen nemen ter beveiliging van de verwerking en waar mogelijk de verwerkingsverantwoordelijke hierbij helpen.
  • Toestemming vragen voor het in dienst nemen van een andere verwerker (“sub-verwerker”).
  • Verzoeken van de in de wet opgenomen rechten van de betrokkene beantwoorden.
  • Na afloop van de verwerkingsdiensten de persoonsgegevens verwijderen of terugsturen, en bestaande kopieën verwijderen.
  • Alle informatie ter beschikking stellen aan de verwerkingsverantwoordelijke bij inspecties of om diens inspanningsverplichting aan te tonen.

Daarnaast moet het volgende worden opgenomen in een verwerkersovereenkomst:

  • het onderwerp,
  • de duur van de verwerking,
  • de aard en het doel van de verwerking,
  • het soort persoonsgegevens,
  • de categorieën van de betrokkenen (de personen wiens gegevens worden verwerkt),
  • de rechten en plichten van de verwerker en de verwerkingsverantwoordelijke.

Lastige gevallen

In de praktijk is het voor bedrijven vaak onduidelijk wie de ‘verwerker’ is en wie ‘verwerkingsverantwoordelijke’. Het resultaat hiervan is dat in overeenkomsten de rollen worden omgedraaid en dat degene die opdracht geeft wordt benoemd tot ‘verwerker’. Beide hebben andere verantwoordelijkheden naar elkaar toe, daarom is het van uiterst belang om goed te bepalen of u verwerker bent of verwerkingsverantwoordelijke.

Boete bij overtreding

De AVG is inmiddels al een paar maanden van kracht. Onder de AVG zijn de verwerkingsverantwoordelijke en de verwerker beide verplicht om de bepalingen in de verordening na te leven. Als bedrijven (nog) niet voldoen aan de nieuwe wetgeving, kunnen deze als sanctie een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De hoogte van deze boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, indien deze hoger is.

Ons advies

  • Sluit altijd een verwerkersovereenkomst als u persoonsgegevens door een derde laat verwerken.
  • Win juridisch advies in als u niet zeker weet of u verwerker dan wel verwerkingsverantwoordelijke bent.

Meer informatie

Wilt u weten of uw bedrijf ‘AVG-proof’ is? Wilt u dat Russell Advocaten een verwerkersovereenkomst opstelt of uw bestaande overeenkomsten controleert? Neem dan contact met ons op.

    Deel op social media

    • ICT, privacy en intellectuele eigendom
    • Arbeidsrecht en ontslag

    Is uw personeelsadministratie klaar voor de AVG?

    23 mei 2018

    Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?

    lees verder
    • ICT, privacy en intellectuele eigendom

    AVG: Overzicht nieuwe Europese regelgeving

    28 mei 2015

    In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.

    lees verder
    • Retail
    • Arbeidsrecht en ontslag

    17 juni 2021: Webinar “Do’s en don’ts bij de zieke werknemer”

    17 juni 2021

    Heeft u het webinar gemist? Bekijk dan de opname hiervan! Als uw werknemer zich ziek meldt, roept dit tal van lastige vragen op. Wat zijn uw re-integratieverplichtingen tijdens de ziekteperiode? Wat mag u – met het oog op privacywetgeving – wel en niet noteren over uw zieke werknemer? Tijdens het webinar op 17 juni 2021 gaven wij een praktische toelichting op deze en andere vragen.

    lees verder
    • Mode en luxury
    • Procederen, arbitrage en mediation

    De voordelen van arbitrage

    19 mei 2021

    Procederen hoeft niet altijd bij een rechter. Er zijn ook andere manieren om een juridisch conflict op te lossen. Een belangrijk en vaak aantrekkelijk alternatief is arbitrage. Zeker als u internationaal zaken doet. Wat zijn de voordelen van arbitrage?

    lees verder
    • Expats
    • Arbeidsrecht en ontslag

    The Netherlands: Gateway to Europe

    3 mei 2021

    The Netherlands likes to present itself as “the gateway to Europe.” And not without reason: excellent travel connections (Schiphol Amsterdam Airport and Rotterdam Seaport) and a highly educated population speaking several languages.

    lees verder
    • Ambassades
    • Arbeidsrecht en ontslag

    Russell Advocaten aanbevolen door The Legal 500 2021

    20 april 2021

    Russell Advocaten is voor het 17e jaar op rij opgenomen in The Legal 500. We zijn blij met deze erkenning voor de kwaliteit van onze juridische dienstverlening door experts en cliënten. Lees wat zij over ons schrijven:

    lees verder
    • Retail
    • Vastgoed en huur

    Huurder en verhuurder moeten pijn van lockdown delen

    30 maart 2021

    Wanneer heeft een huurder recht op huurkorting? Hoe worden de gevolgen van de coronacrisis over verhuurder en huurder verdeeld?

    lees verder
    • Franchise, distributie en agentuur
    • Contracten

    Distribution & Agency in the Netherlands

    25 februari 2021

    Russell Advocaten heeft in de Lexology Guide Distribution & Agency het hoofdstuk over Nederland geschreven. Lexology is de grootste bron voor internationaal juridisch nieuws, analyses en inzichten voor advocatenkantoren en bedrijfsjuristen.

    lees verder