article banner
Legal

AVG: ben ik verwerker of verwerkingsverantwoordelijke?

Jan van Ederen Jan van Ederen

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e.

Deel 1 van deze serie ging over bewustwording en het bijhouden van een verwerkingsregister. In dit register neemt u ook op of uw organisatie de ‘verwerkingsverantwoordelijke’ of ‘verwerker’ over (een gedeelte van) de verzamelde persoonsgegevens is en of u verwerkers inschakelt. Bekijk dit goed om te weten of u verwerkersovereenkomsten moet opstellen en wees u er van bewust dat dit per situatie kan verschillen.

Meer weten over cyber-, data- en privacyrisico's? Bekijk ons digital risk dossier >>

Verwerkingsverantwoordelijke

U bent verwerkingsverantwoordelijke als u het doel van en de middelen voor de gegevensverwerking vaststelt’. Oftewel u beslist waarom de persoonsgegevens worden verwerkt en hoe dat gebeurt. De verwerkingsverantwoordelijke heeft de zeggenschap over hetgeen wordt verwerkt, kan instructies geven voor de gegevensverwerking en heeft hierop feitelijke invloed. Het gaat hier vooral om wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met die gegevens gebeurt.

U bent bijvoorbeeld verwerkingsverantwoordelijke van de persoonsgegevens van uw personeel. U heeft het doel van de verwerking bepaald en beslist ook hoe deze wordt uitgevoerd.

De verwerker

Een verwerker ‘verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke’. Dit is niet altijd gemakkelijk te bepalen. Zo worden internet service providers, clouddienstverleners en callcenters die direct marketing voor een organisatie uitvoeren vaak als voorbeeld van een verwerker genoemd. Zij gebruiken de ontvangen persoonsgegevens alleen voor de doelen die de opdrachtgever als verwerkingsverantwoordelijke heeft bepaald.

Bij situaties die minder duidelijk zijn, moet er gekeken worden naar alle omstandigheden, zoals de mate van zeggenschap van de vermoedelijke verwerker (hoe hoger de zeggenschap, hoe groter de kans dat deze partij toch zelf verwerkingsverantwoordelijke is) en in welke mate deze partij verzamelde resultaten zelf kan gebruiken. Tussen twee partijen kunnen verschillende verhoudingen bestaan. Zo is de organisatie die de salarisadministratie verzorgt in die hoedanigheid verwerker.

Als er echter door dezelfde klant een controle-opdracht, zonder vastomlijnde instructie, bij een van haar accountants wordt neergelegd is de organisatie in dat geval aan te merken als verwerkingsverantwoordelijke.

Wat zet u in de verwerkersovereenkomst?

Als een verwerkingsverantwoordelijke een verwerker inschakelt, is het verplicht een verwerkersovereenkomst te sluiten. In de verwerkersovereenkomst worden over en weer afspraken gemaakt over de verwerking en op wie welke plicht rust. U neemt zoal op:

  • Het onderwerp en duur van de verwerking, vaak overeenstemmend met de ‘hoofdovereenkomst’ tussen de partijen.
  • De aard en het doel van de verwerking.
  • De soort(en) persoonsgegevens die worden verwerkt en de categorieën van betrokkenen.
  • De verplichting van de verwerker om de persoonsgegevens alleen ten behoeve van verwerkingsverantwoordelijke te verwerken.
  • Technische en organisatorische beveiligingsmaatregelen die zijn getroffen, waaronder een geheimhoudingsplicht en het beperken van de toegang tot de persoonsgegevens.
  • Afspraken over de inschakeling van sub-verwerkers, zowel binnen als buiten de EER.
  • De afhandeling van verzoeken van betrokkenen over hun persoonsgegevens, zoals inzage, correctie en verwijdering.
  • Het recht van audit en regelingen hieromtrent.
  • De plicht tot teruggave of wissen van de persoonsgegevens (voor zover de verwerker geen bewaarplicht heeft).
  • Aansprakelijkheid en vrijwaring.
  • Omgang met datalekken; in principe is de verwerkingsverantwoordelijke altijd verplicht datalekken te melden. Het is van belang kort te sluiten dat de verwerker datalekken altijd aan de verwerkingsverantwoordelijke meldt, zodat deze aan haar plicht kan voldoen.

Heeft u hulp of advies nodig bij het opstellen van een verwerkingsovereenkomst? Neem dan contact op met onze bedrijfsjuridisch adviseurs.

Meer weten over cyber-, data- en privacyrisico's? Bekijk ons digital risk dossier >>

Gerelateerde artikelen

Cyber- en datarisico's

Hoe kunnen de bestuurders en managers van vandaag zich voorbereiden op data-, privacy- en cyberrisico’s en adequaat reageren als het toch mis gaat?

1 jaar AVG, de stand van zaken

Met het eerste jaar van de AVG achter de rug is het tijd om de balans op te maken. Wat vond er het afgelopen jaar plaats? Welke wijzigingen zijn er doorgevoerd? En wat doet de Autoriteit Persoonsgegevens momenteel? Lees het hele artikel.

Autoriteit Persoonsgegevens controleert naleving van de AVG!

Rond de inwerkingtreding van de Algemene verordening gegevensbescherming‎ (AVG) was een veelgehoorde opmerking dat het met de controle van de Autoriteit Persoonsgegevens (AP) niet zo een vaart zou lopen. Inmiddels is duidelijk dat de AP wel degelijk controleert en ook zal handhaven. Lees over welke controles de AP heeft uitgevoerd.

Gegevensbescherming bij een ‘no deal Brexit’

Mag u na 29 maart 2019 nog wel persoonsgegevens uitwisselen met in het Verenigd Koninkrijk gevestigde ondernemingen of instellingen? En mag u deze data doorgeven aan een bedrijfsonderdeel van uw concern dat gevestigd is in het Verenigd Koninkrijk? Lees het antwoord.

Privacy, wie heeft dat nou nog?

In dit digitale tijdperk worden continu persoonsgegevens over ons doen en laten verzameld. Organisaties moeten een balans vinden tussen het vergaren en bewaren van de noodzakelijke persoonsgegevens, terwijl ze gelijktijdig de privacy van hun medewerkers moeten eerbiedigen. Vanuit het perspectief van incidentonderzoek hebben wij daar een specifieke kijk op, waar u wellicht uw voordeel mee kunt doen. Lees hier meer over.

AVG: ben ik verwerker of verwerkingsverantwoordelijke?

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Lees meer over het zijn van verwerker of verwerkingsverantwoordelijke.

Privacywetgeving: heb ik nou een jurist nodig of een hacker?

Een Europese verordening over de bescherming van persoonsgegevens waar een hoop over te doen is. Maar wat staat daar nou eigenlijk in? In Artikel 5 staat: ‘persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is’. ‘Passende maatregelen’ voor een ‘passende beveiliging’. Aha. ‘Passend’, wat is dat eigenlijk? Lees hier meer over.

Waarin beschermt de Wet bescherming bedrijfsgeheimen mij?

De Wet bescherming bedrijfsgeheimen is recent aangenomen door de Eerste Kamer. De nieuwe wet implementeert de Europese Richtlijn betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie, oftewel bedrijfsgeheimen. Hoe helpt deze wet mij als ondernemer? En hoe moet ik mijn gegevens beschermen? Lees meer over dit onderwerp.

AVG: het begint bij bewustwording

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Controleer daarom hoe ver u bent of hoe u uw organisatie compliant maakt.

Wat is de waarde van mijn data?

Download het rapport 'Wat is de waarde van uw data?' en ontvang een praktische aanpak waarmee data- en privacyrisico’s en de dreiging van een cyberincident beter beheersbaar worden.