Verwerkingsverantwoordelijke
Volgens de AVG is een verwerkingsverantwoordelijke: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 4 lid 7 AVG).
Een verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. Bij het vaststellen daarvan moet echter ook gekeken worden naar de feitelijke invloed die een partij op het doel van de verwerking uitoefent. Als een decentrale overheid bepaalt ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.
Een medewerker van een gemeente die bijvoorbeeld persoonsgegevens verwerkt om schuldhulp aan te bieden, doet dit om haar taken als verwerkingsverantwoordelijke uit te voeren. De bevoegdheid voor verwerkingsverantwoordelijke kan juridisch zijn vastgelegd.
Gezamenlijke verwerkingsverantwoordelijken
Volgens artikel 26 van de AVG kunnen twee (of meer) partijen ook samen verwerkingsverantwoordelijken zijn. Dan bepalen zij met elkaar het doel en de middelen van de verwerking. In dit geval moeten de verwerkingsverantwoordelijken een regeling treffen over de verwerking van persoonsgegevens. De belangrijkste aspecten van de regeling moeten worden meegedeeld aan de personen van wie de gegevens worden verwerkt. Daarnaast moeten zij vastleggen hoe ze de verplichtingen uit de AVG nakomen, tenzij dit al is vastgelegd in het Europees of lidstatelijk recht.
Let op: deze onderlinge afstemming is wat anders dan de verwerkersovereenkomst.
Verwerker
Volgens de AVG is een verwerker: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’ (artikel 4 lid 8 AVG).
Het gaat er in de praktijk dus om dat de verwerker de verwerking uitvoert voor de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking. Een verwerker staat ook niet onder direct gezag van de verwerkingsverantwoordelijke. De eigen medewerker van een organisatie die persoonsgegevens verwerkt wordt niet beschouwd als een verwerker in de zin van de AVG.
Een voorbeeld van een verwerker is een salarisadministratiekantoor of een ICT-bedrijf dat de systemen waar de persoonsgegevens in worden verwerkt beheert. Overheidsorganisaties kunnen echter ook optreden als verwerker voor (decentrale) overheden. Hier is sprake van wanneer er bepaalde bevoegdheden worden neergelegd waarbij ook persoonsgegevens verwerkt moeten worden, bijvoorbeeld wanneer een decentrale overheid voor een andere decentrale overheid de hosting verzorgt.
Verplichtingen verwerker
Volgens artikelen 23 tot en met 31 van de AVG moet een verwerker zich aan verschillende regels houden. De verwerker mag de persoonsgegevens alleen maar verwerken in opdracht van de verwerkingsverantwoordelijke. Indien zij een andere verwerker (ook wel: sub-verwerker) in willen schakelen moeten zij toestemming vragen van de verwerkingsverantwoordelijke.
Daarnaast moet de verwerker zich houden aan vergelijkbare verplichtingen als die op de verwerkingsverantwoordelijke liggen. Verwerkers moeten een verwerkingsregister bijhouden en soms een Functionaris voor gegevensbescherming aannemen. Ook is de verwerker verplicht om met de Autoriteit Persoonsgegevens samen te werken, wanneer het uitvoeren van de taken van de toezichthouder dit vereist.
Verwerkersovereenkomst
Als een verwerkingsverantwoordelijke een verwerker inschakelt om hem te ondersteunen bij het verwerken van persoonsgegevens, moeten zij hun samenwerking vastleggen in een overeenkomst. Dat staat in artikel 28 lid 3 van de AVG.
Volgens dit artikel hoort de verwerkersovereenkomst het volgende te bevatten:
- Het onderwerp van de verwerking;
- De duur van de verwerking;
- De aard en het doel van de verwerking;
- Het soort persoonsgegevens dat verwerkt wordt, zoals NAW-gegevens, contactgegevens of betaalgegevens;
- De categorieën van de betrokkene, dat is degene van wie de persoonsgegevens worden verwerkt. U kunt hierbij denken aan bijvoorbeeld klanten, websitebezoekers of werknemers;
- De rechten en verplichtingen van de verwerkingsverantwoordelijke.
In juni 2021 publiceerde de Europese Commissie een standaard verwerkersovereenkomst. Daarnaast heeft de VNG in 2019 een standaardovereenkomst voor gemeenten opgesteld.
Verwerkersovereenkomst in de praktijk
Het kan in de decentrale praktijk lastig zijn vast te stellen welke organisatie zich als verwerkingsverantwoordelijke of verwerker gedraagt, zeker als er meerdere partijen bij een complexe verwerking zijn betrokken. Dat kan het geval zijn bij samenwerkingsverbanden tussen overheidsorganisaties onderling of met private partijen. Het is dan niet altijd duidelijk met welke partijen wel en niet een verwerkersovereenkomst af moet worden gesloten.
U kunt daarom meer informatie over dit onderwerp vinden in onderstaande praktijkvragen: