Samen met omringende gemeenten heeft onze gemeente een uitvoeringsorganisatie opgezet om het betalen van uitkeringen efficiënter te maken. Doormiddel van een dienstverleningsovereenkomst hebben wij de uitvoeringsorganisatie gemandateerd om de uitkeringen te betalen. Om dit te doen, verwerkt de uitvoeringsorganisatie de persoonsgegevens van uitkeringsgerechtigden. Wij vragen ons af wie binnen deze constructie de verwerkingsverantwoordelijke is in de zin van de AVG?
Antwoord in het kort
Binnen een mandateringsconstructie geeft de mandaatgever de opdracht aan de gemandateerde en bepaalt welke middelen deze kan gebruiken voor het uitvoeren van deze opdracht. Indien hier persoonsgegevens voor verwerkt moeten worden, dan is de mandaatgever ook degene die het doe doel en de middelen hiervoor uitzet. Om deze reden is de mandaatgever de verwerkingsverantwoordelijke en de gemandateerde de verwerker. Hierbij is wel altijd nog een aparte verwerkingsovereenkomst nodig.
Introductie
Om deze vraag te beantwoorden zullen eerst twee sub-vragen beantwoord moeten worden. Namelijk eerst de vraag: “Wat is mandatering?” en vervolgens de vraag: “Wat is een verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG)?” Het antwoord op de hoofdvraag zit in de verbinding tussen deze twee vragen.
Mandatering
Mandatering is een bestuursrechtelijke constructie waarmee een publieke instantie taken overdraagt aan een andere organisatie, zodat deze namens de mandaterende publieke instantie de taak kan uitvoeren. De Algemene wet bestuursrecht (Awb) definieert in artikel 10:1 een mandaat als ‘de bevoegdheid om in naam van een bestuursorgaan besluiten te nemen’ en lid 2 legt uit dat ‘een door de gemandateerde binnen de grenzen van zijn bevoegdheid genomen besluit geldt als een besluit van de mandaatgever’. De gever van een mandaat wordt ook wel een mandaatgever of mandans genoemd en een de gemandateerde een mandataris. De wet hierboven laat zien dat de mandans het kader bepaalt waarbinnen een gemandateerde kan handelen. De mandataris heeft dus geen zeggenschap over het doel van de handeling en omvang van de zeggenschap. Dit punt zal later nog terugkeren.
De AVG en verwerking van gegevens
De AVG is het belangrijkste stuk wetgeving op het gebied van privacy vanuit de Europese Unie (EU). De wet trad op 25 mei 2016 in werking, wordt sinds 25 mei 2018 gehandhaafd en is inmiddels een begrip worden. Het doel van de AVG is het mogelijk maken om het hergebruik van data zo veel mogelijk te maken, maar daarbij de privacy van particulieren te beschermen.
Wellicht de belangrijkste term uit de AVG is verwerken. Hiermee wordt bedoelt het ‘verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
Twee andere relevante begrippen uit de AVG zijn verwerkingsverantwoordelijke en verwerker. Hoewel deze termen heel erg op elkaar lijken, volgen er wel verschillende juridische verplichtingen en verantwoordelijkheden uit. Het is daarom essentieel om de verschillen te kennen en te weten of een partij verwerker, verwerkingsverantwoordelijke of zelfs allebei is.
- Een verwerkingsverantwoordelijke wordt in artikel 4, lid 7, AVG gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
- Een verwerker wordt in artikel 4, lid 8, AVG gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Het belangrijkste en meest relevante verschil voor deze vraag heeft te maken met het vaststellen van het doel en de middelen voor een verwerking. De verwerkingsverantwoordelijke heeft als taak om dit af te bakenen, terwijl de verwerker hier geen enkele zeggenschap over heeft.
Hoewel dit suggereert dat een verwerkingsverantwoordelijke en een verwerker twee verschillende partijen zijn, hoeft dit niet het geval te zijn. Een partij kan namelijk beide rollen tegelijkertijd vervullen. Dit betekent dat zij zowel de doelen en de middelen van de verwerking vaststelt als de daadwerkelijke verwerking doet. Dit zou bijvoorbeeld het geval zijn als de gemeente zelf de gegevens verwerkte om de uitkeringen uit te betalen. Meer voorbeelden kunt u vinden op deze lijst van de Autoriteit Persoonsgegevens.
In het geval dat de verwerker en de verwerkingsverantwoordelijke niet dezelfde partij zijn en dat de verwerking uitbesteed wordt, dan is het aan de verwerkingsverantwoordelijke om een verwerker te kiezen die betrouwbaar is. Het moet zeker zijn dat de verwerker passende maatregelen treft om privacy rechten te respecteren. Om dit te garanderen, is een verwerkingsverantwoordelijke ook verplicht om een verwerkersovereenkomst met de verwerker te sluiten. Hierin wordt opgenomen wat de verwerker wel en niet met persoonsgegevens mag doen.
Mandatering en verwerking
De vraag die volgt is wie de verwerker en wie de verwerkingsverantwoordelijke is binnen een mandateringsconstructie. Dit kan beantwoord worden door te kijken welke van deze termen aansluit bij de rollen mandans en mandataris. Hierboven werd gewezen op het feit dat de mandataris bepaalt welke bevoegdheden een mandans kan uitoefenen en met welk doel. Als het aankomt op gegevensverwerking, betekent dit dat de mandataris alleen maar gegevens mag verwerken binnen en conform het kader uitgezet door de mandans.
Hieruit blijkt dat binnen de mandateringconstructie de mandataris een verwerker is, terwijl de mandans de verwerkingsverantwoordelijke is. Immers, de mandataris- en verwerkersrol draaien beide om het uitvoeren van een opdracht van de mandans en verwerkingsverantwoordelijke, waarbij deze partijen de doelen bepalen.
Deze conclusie wordt ook bevestigd door de Autoriteit Persoonsgegevens in dit advies: “Bij volmacht en mandaat blijft de zeggenschap bij de volmachtgever respectievelijk de mandans. Het is dus niet zo dat de gevolmachtigde respectievelijk de mandataris zelf kan bepalen welke persoonsgegevens zij ter uitvoering van de aan haar opgedragen taken verwerkt, hoe ze verwerkt worden, wie toegang tot de gegevens heeft, en dergelijke.” De verantwoordelijkheid ligt dus, binnen de taken uitgezet in de mandatering, bij de mandans.
Aangezien een mandaatverlening niet automatisch afspraken maakt over gegevensverwerking, is het ook nodig om altijd verwerkingsovereenkomst af te sluiten in alle gevallen waar een verwerker een andere partij is dan de verwerkingsverantwoordelijk. Dit is ten eerste verplicht, maar ten tweede ook simpelweg verstandig om afspraken duidelijk te hebben.
Antwoord op de vraag
Als een gemeente, of een groep gemeenten, een uitvoeringsorganisatie opzetten en deze mandateren voor een taak waarbij de uitvoeringsorganisatie gegevens moeten verwerken, blijven de individuele gemeenten de verwerkingsverantwoordelijke. Zij zetten immers het doel van de verwerking uit, terwijl de uitvoeringsorganisatie deze taak alleen maar uitvoert. Het is verstandig om daarover afspraken te maken bij de mandaatverlening.
Hier zit één haakje aan. Het is mogelijk dat de uitvoeringsorganisatie de gegevens ook nog verwerkt buiten deze taak om, om bijvoorbeeld data te analyseren om bijvoorbeeld het bedrijfsproces te verbeteren. In dit geval bepaalt de uitvoeringsorganisatie zelf het doel en de middelen van de verwerking en is deze ook zelf verwerkingsverantwoordelijke. Echter, deze verwerking gebeurt buiten de mandaatconstructie om. De gemeenten die de uitvoeringsorganisatie op hebben gezet staan dan ook volledig los van deze constructie en zijn geen verwerkingsverantwoordelijke.