Nieuwe richtsnoeren voor interpretatie van de avg-termen ‘verwerkings­verantwoordelijke’ en ‘verwerker’

25 september 2020Informatiemaatschappij

Het Europees Comité voor gegevensbescherming (European Data Protection Board – EDPB) heeft nieuwe richtsnoeren uitgebracht voor het interpreteren van de Algemene Verordening Gegevensbescherming (AVG). Deze richtsnoeren doelen met name op het verduidelijken van de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’.

Verwerkingsverantwoordelijken en verwerkers

Voor de toepassing van de AVG is het belangrijk om te bepalen of er sprake is van een verwerkingsverantwoordelijke of verwerker. De verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de gegevens die zijn verwerkt. Ook als de verwerking is uitbesteed aan een verwerker. Het kan echter lastig zijn om te bepalen welk van de twee begrippen van toepassing is en welke verplichtingen hieruit voortvloeien. Het EDPB heeft de begrippen daarom verduidelijkt in de richtsnoeren.

Verwerkingsverantwoordelijke

Volgens de AVG is een verwerkingsverantwoordelijke de entiteit die het doel en de middelen van verwerking van persoonsgegevens bepaalt. Dit kan individueel of in samenwerking met andere entiteiten. In de richtsnoeren staat dat het concept van verantwoordelijke breed geïnterpreteerd moet worden. Dit houdt onder meer in dat de verwerkingsverantwoordelijke niet per se toegang hoeft te hebben tot de verwerkte persoonsgegevens. Daarnaast benadrukt het EDPB in de richtsnoeren dat de verwerkingsverantwoordelijke zowel het doel als de middelen van verwerking moet bepalen.

Gezamenlijk verantwoordelijken

Het kan zijn dat meer entiteiten betrokken zijn bij de verwerking van bepaalde gegevens. Dit gebeurt wanneer twee of meer entiteiten deelnemen in het bepalen van het doel en de middelen van de verwerking. Verder kan een gezamenlijke verantwoordelijkheid ontstaan wanneer partijen nauw verweven doelstellingen nastreven bij een verwerking. Een voorbeeld hiervan is een wederzijds (financieel) voordeel dat ontstaat uit de verwerking van de persoonsgegevens. Voor gezamenlijk verantwoordelijken gelden afwijkende verplichtingen bij de verwerking van persoonsgegevens.

Verwerker

Een verwerker wordt in de AVG omschreven als een entiteit die namens een verantwoordelijke persoonsgegevens verwerkt. In de richtsnoeren staat dat de verwerker een beperkte keuzevrijheid heeft bij verwerking. Hij moet zich houden aan de instructies van de verwerkingsverantwoordelijke om schending van de AVG te voorkomen. De verwerker kan vooraf bepalen hoe zijn dienstverlening eruit gaat zien maar de verantwoordelijke heeft het laatste woord bij het bepalen van het doel van het verwerkingsproces. De verwerkingsverantwoordelijke blijft bovendien bevoegd om in een later stadium verandering van de verwerkingswijze te eisen.

Verplichtingen

Uit de richtsnoeren blijkt dat verwerkingsverantwoordelijken enkel verwerkers mogen inzetten die voldoende technische en organisatorische waarborgen bieden. De verwerkingsverantwoordelijke moet bij het kiezen van een verwerker letten op onder meer de expertise, betrouwbaarheid en financiële middelen van de verwerker. Daarnaast staat in de richtsnoeren dat bepaalde waarborgen en regels moeten worden opgenomen in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Het is bijvoorbeeld niet voldoende om enkel bepalingen uit de AVG over te nemen ter bescherming van gegevens. De richtsnoeren eisen specifiekere en concretere informatie over de toepassing van de betreffende AVG-bepalingen in de praktijk.

Voor gezamenlijk verantwoordelijken gelden nog een aantal extra verplichtingen. Het EDPB raadt in de richtsnoeren aan om de gezamenlijke verantwoordelijkheid vast te leggen in een bindende overeenkomst. Deze overeenkomst moet bepaalde verplichtingen uit de AVG bevatten, bijvoorbeeld het toepassen van de fundamentele principes van gegevensbescherming. Daarnaast moet ook de taakverdeling van de verantwoordelijken in de overeenkomst worden opgenomen. Tot slot moeten de gezamenlijk verantwoordelijken de ‘essentie van de overeenkomst’ ter beschikking stellen aan personen wiens gegevens worden verwerkt. In de richtsnoeren wordt nader toegelicht wat er wordt bedoeld met essentie van de overeenkomst.

Decentrale relevantie

De richtsnoeren van het EDPB kunnen decentrale overheden helpen bij het bepalen van de toepasselijkheid van de AVG. Ook verduidelijken deze richtsnoeren de verplichtingen die decentrale overheden hebben wanneer zij gekwalificeerd worden als (gezamenlijk) verwerkingsverantwoordelijke. De richtsnoeren staan nog tot 19 oktober 2020 open voor consultatie. U kunt hier uw feedback doorgeven.

Door

Monika Beck en Evelien van Buuren, Kenniscentrum Europa Decentraal

Meer informatie

De Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Verwerkingsverantwoordelijke en verwerker, Kenniscentrum Europa Decentraal
Europese toezichthouders publiceren nieuwe AVG-richtlijnen, Kenniscentrum Europa Decentraal
AVG-guidelines, Autoriteit Persoonsgegevens
Verwerkers, Autoriteit Persoonsgegevens