Verwerkingsverantwoordelijke en verwerker

De AVG maakt een onderscheid tussen een organisatie die te beschouwen is als verwerkingsverantwoordelijke en de partij die de rol van verwerker op zich neemt. Elke verwerking van persoonsgegevens heeft een verwerkingsverantwoordelijke. Deze krijgt onder de AVG een hoop verplichtingen. Soms maakt een verwerkingsverantwoordelijke gebruik van een verwerker. Ook deze heeft enkele verplichtingen, en de samenwerking moet vastgelegd worden in een overeenkomst.

Decentrale overheden kunnen zowel verwerkers als verwerkingsverantwoordelijken zijn. Welke rol zij aannemen kan per verwerking verschillen.

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke is: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’’ (artikel 4, lid 7 AVG).

Een (decentrale) overheid is dus een verwerkingsverantwoordelijke als deze het doel en de middelen van de verwerking vaststelt. De bevoegdheid hiertoe kan bijvoorbeeld juridisch zijn vastgelegd. Er moet echter ook gekeken worden naar de feitelijke invloed die een partij op de doel van de verwerking uitoefent.

Meer informatie over de verplichtingen van de verwerkingsverantwoordelijke staat op deze pagina.

gezamenlijke verwerkingsverantwoordelijken

Volgens artikel 26 AVG kunnen twee (of meer) partijen ook samen verwerkingsverantwoordelijke zijn. Dan bepalen zij samen het doel en de middelen van de verwerking. In dit geval moeten de verwerkingsverantwoordelijken vastleggen hoe zij de verplichtingen uit de AVG nakomen, tenzij dit al is vastgelegd in het Europees of lidstatelijk recht.

Deze onderlinge afstemming is dus wat anders dan de verwerkersovereenkomst.

Verwerker

Een verwerker is: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt” (artikel 4, lid 8 AVG).

Een voorbeeld van een verwerker is een salarisadministratiekantoor of een ICT-bedrijf dat de systemen waar de persoonsgegevens in worden verwerkt beheert. Andere overheidsorganisaties kunnen echter ook optreden als verwerker voor (decentrale) overheden. Hier kan bijvoorbeeld sprake van zijn wanneer er bevoegdheden worden neergelegd, waarbij ook persoonsgegevens verwerkt moeten worden.

Het gaat er in de praktijk dus om dat de verwerker de verwerking uitvoert voor de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking. Een verwerker staat ook niet onder direct gezag van de verwerkingsverantwoordelijke. De eigen medewerker van een organisatie die persoonsgegevens verwerkt wordt niet beschouwd als een verwerker in de zin van de AVG.

Verplichtingen verwerker

Een verwerker moet zich aan verschillende regels houden (artikelen 23 – 31 AVG). De verwerker mag de persoonsgegevens alleen maar verwerken in opdracht van de verwerkingsverantwoordelijke. Indien zij een andere verwerker (ook wel: sub-verwerker) in willen schakelen moeten zij toestemming vragen van de verwerkingsverantwoordelijke.

Daarnaast moet de verwerker zich houden aan vergelijkbare verplichtingen als die op de verwerkingsverantwoordelijke liggen. Verwerkers moeten melding maken van datalekken, een verwerkingsregister bijhouden en soms een Functionaris voor gegevensbescherming aannemen. Ook is de verwerker verplicht om met de Autoriteit Persoonsgegevens samen te werken, wanneer het uitvoeren van de taken van de toezichthouder dit vereist.

meer weten OVER de de verwerkingsverantwoordelijke en de verwerker?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag


X