Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

AVG Deel III: Verwerker, verwerkingsverantwoordelijke en verwerkersovereenkomst

5 maart 2018Informatiemaatschappij

Vanaf 25 mei dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale AVG-reeks lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit derde deel kijken we wat de termen ‘verwerkingsverantwoordelijke’, ‘verwerker’ en ‘verwerkersovereenkomst’ inhouden.

Verwerkingsverantwoordelijke

De AVG legt een hoop verplichtingen op aan organisaties die te beschouwen zijn als verwerkingsverantwoordelijke in de zin van de AVG. Onder de Wet bescherming persoonsgegevens (Wbp) werd een verwerkingsverantwoordelijke een ‘verantwoordelijke’ genoemd. In artikel 4, lid 7 AVG wordt een verwerkingsverantwoordelijke omschreven als: ’’een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’’.

Een (decentrale) overheid is dus te beschouwen als verwerkingsverantwoordelijke wanneer deze het doel en de middelen van de verwerking vaststelt. Voor het vaststellen van dit doel en de middelen kan bijvoorbeeld een juridische bevoegdheid zijn vastgelegd. Er kan echter ook gekeken worden naar de feitelijke invloed die de partij op de doel van de verwerking uitoefent.

Volgens artikel 26 AVG kunnen twee (of meer) partijen ook samen verwerkingsverantwoordelijke zijn. Dan bepalen zij samen het doel en de middelen van de verwerking. In dit geval moeten de verwerkingsverantwoordelijken vastleggen hoe zij de verplichtingen uit de AVG nakomen, tenzij dit al is vastgelegd in het Europees of lidstatelijk recht.

Verantwoordingsplicht en privacybeleid

Onder de AVG heeft de verwerkingsverantwoordelijke een verantwoordingsplicht. Dit houdt in dat de organisatie moet kunnen aantonen dat ze aan de regels van de AVG voldoet. Volgend artikel 5 lid 2 AVG moet de verwerkingsverantwoordelijke bijvoorbeeld kunnen aantonen dat zij de verwerkingsbeginselen respecteren. Over deze beginselen kunt u in AVG Deel II meer lezen. Daarnaast is de verwerkingsverantwoordelijke volgend artikel 24 AVG verplicht om passende technische en organisatorische maatregelen te nemen om het verwerken van persoonsgegevens volgens de AVG te waarborgen. Dit moet de verwerkingsverantwoordelijke ook kunnen aantonen, bijvoorbeeld door een gegevensbeschermingsbeleid of privacybeleid op te stellen en uit te voeren. Daarnaast kan een organisatie zich ook aansluiten bij een door het AP goedgekeurde gedragscode of certificeringsmechanisme.

Register van verwerkingen

Een ander onderdeel van het voldoen aan deze verantwoordingsplicht is het bijhouden van een register van verwerkingen. Zelfs in situaties waarin het bijhouden van zo’n register onder de AVG niet verplicht is, kan het maken van een register van alle verwerkingen die de decentrale overheid uitvoert voor de organisatie zelf ook nuttig zijn. Het register geeft een goed overzicht van welke verwerkingen de decentrale overheid uitvoert en kan het startpunt zijn om in te gaan op verzoeken van betrokkenen om hun rechten uit te oefenen. In het register moet de verwerkingsverantwoordelijke bijvoorbeeld het doel van de verwerkingen opschrijven, de categorieën van betrokkenen en persoonsgegevens noemen, aan wie de persoonsgegevens zijn verstrekt, wanneer ze gewist worden en hoe ze beveiligd zijn.

Een voorbeeld van een register van verwerkingen kunt u op de website van VNG Realisatie vinden. Daarnaast kunt u ook in deze handreiking kijken.

Daarnaast is de verwerkingsverantwoordelijke ook verplicht om met de Autoriteit Persoonsgegevens samen te werken wanneer het uitvoeren van de taken van de AP dit vereist (artikel 31 AVG). Meer informatie over de verplichtingen van de verwerkingsverantwoordelijke kunt u vinden in Deel IV van onze AVG-special.

Verwerker

In de AVG wordt ook een andere partij onderscheiden: de verwerker. Deze werd onder de Wbp de bewerker genoemd. Artikel 4 lid 8 AVG definieert een verwerker als ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’ Zoals wordt aangegeven in de Memorie van Toelichting van de Uitvoeringswet van de AVG, werken overheidsorganisaties vaak met verwerkers. Een goed voorbeeld van een verwerker is bijvoorbeeld een salarisadministratiekantoor of een ICT-bedrijf dat de systemen waar de persoonsgegevens in worden verwerkt beheert. Andere overheidsorganisaties kunnen echter ook optreden als verwerker voor (decentrale) overheden. Hier kan bijvoorbeeld sprake van zijn wanneer er bij mandaat bevoegdheden worden neergelegd, waarbij ook persoonsgegevens verwerkt worden.

Het gaat er in de praktijk dus om dat de verwerker de verwerking uitvoert voor de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking. Hierbij is ook belangrijk dat degene die deze verwerking dan uitvoert niet onder direct gezag van de verwerkingsverantwoordelijke staat. Een medewerker van een organisatie die de verwerking zelf uitvoert wordt niet beschouwd als een verwerker in de zin van de AVG. Organisaties kunnen zowel verwerkers als verwerkingsverantwoordelijken zijn. Dit hangt af van de specifieke verwerking. Een voorgenoemd salarisadministratiekantoor verwerkt bijvoorbeeld ook de persoonsgegevens van zijn eigen medewerkers.

Met de komst van de AVG wordt het toepassingsbereik van de verplichtingen van verwerkers uitgebreid. Zo dient de verwerker van persoonsgegevens zich te houden aan verplichtingen die voortvloeien uit artikel 28 van de AVG. Indien een verwerker bijvoorbeeld een andere verwerker (ook wel: sub-verwerker) in dienst wil nemen is hier toestemming voor vereist (artikel 28 lid 2 en 4 AVG). De verwerker mag de persoonsgegevens ook alleen maar verwerken in opdracht van de verwerkingsverantwoordelijke (artikel 29 AVG). Daarnaast moet de verwerker zich houden aan vergelijkbare verplichtingen van de verwerkingsverantwoordelijke. Verwerkers moeten melding maken van datalekken (art. 28 lid f en art. 32 lid 2 AVG), een verwerkingsregister bijhouden (art. 30 lid 2 AVG) en soms een Functionaris voor Gegevensbescherming aannemen. Ook is de verwerker verplicht om met de Autoriteit Persoonsgegevens samen te werken wanneer het uitvoeren van de taken van de AP dit vereist (artikel 31 AVG).

Verwerkersovereenkomst

Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke en verwerker. Artikel 28 AVG bepaalt dat de gegevensverwerking, uitgevoerd door de verwerker voor een verwerkingsverantwoordelijke, vastgelegd moet worden in een verwerkingsovereenkomst. Omdat het soms lastig is te bepalen wanneer iemand verwerkingsverantwoordelijke of verwerker is, is ook niet altijd duidelijk met welke partijen wel en niet een verwerkersovereenkomst af moet worden gesloten. Meer informatie kunt u vinden in deze praktijkvraag.

Anders dan de Wbp stelt de AVG specifieke eisen aan de inhoud van de verwerkersovereenkomst. De verwerkersovereenkomst hoort ingevolge artikel 28 AVG het onderwerp, de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens dat verwerkt wordt, de categorieën van de betrokkene en de rechten en verplichtingen van de verwerkingsverantwoordelijke te bevatten. In ons overzicht van handige tools & publicaties vindt u verschillende voorbeelden van verwerkersovereenkomsten.

Voor (decentrale) overheden is het belangrijk om na te gaan of hun huidige bewerkersovereenkomsten ook voldoen aan de eisen aan verwerkersovereenkomsten uit de AVG.

Meer weten over dit onderwerp?

Dit artikel is onderdeel van onze AVG-special. Lees ook deel Ideel IIdeel IV, deel V, deel VI & deel VII van onze reeks over de AVG. Werkt u voor een decentrale overheid of het Rijk en heeft u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Matthijs Binnema & Juliëtte Fredriksz

Bron:

Algemene Verordening Gegevensbescherming

Meer informatie:

De nieuwe privacywet: AVG, themapagina Europa decentraal
Informatiemaatschappij, Europa decentraal
Privacy: wanneer moet er een verwerkersovereenkomst afgesloten worden?, praktijkvraag Europa decentraal
Themadossier AVG, Ministerie van Volksgezondheid, Welzijn en Sport
Memorie van Toelichting AVG, Rijksoverheid
Handleiding Algemene verordening gegevensbescherming, Rijksoverheid
Model verwerkersovereenkomst, Rijksoverheid
Factsheet Verwerkersovereenkomsten, Informatiebeveiligingsdienst

X