Verantwoordelijke en verwerker

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. De organisatie die een andere organisatie inschakelt, is de verwerkingsverantwoordelijke. En die andere organisatie, die alleen maar feitelijk de verwerkingen uitvoert volgens de opdracht van de verwerkingsverantwoordelijke, heet een verwerker. 

In de praktijk kan het soms lastig zijn om te bepalen of u verwerkingsverantwoordelijke of verwerker bent. Op deze pagina leest u hoe u dit aanpakt. Ook leest u wat de plichten zijn van de verwerkingsverantwoordelijke en van de verwerker.

Op deze pagina

Verwerkingsverantwoordelijke of verwerker?

De Algemene verordening gegevensbescherming (AVG) stelt verschillende eisen aan verwerkingsverantwoordelijken en verwerkers. Daarom is het belangrijk om dit onderscheid te maken.

Verwerkingsverantwoordelijke

U bent als organisatie verwerkingsverantwoordelijke als er sprake is van 1 van de volgende 3 situaties:

  1. Uw organisatie bepaalt dat bepaalde persoonsgegevens worden verwerkt, met welk doel dat gebeurt en de manier waarop dat gebeurt. De andere partij moet uw instructies volgen. De gezagsverhouding kan bijvoorbeeld blijken uit de schriftelijke afspraken die u heeft gemaakt. Bijvoorbeeld in de verwerkersovereenkomst
  2. In de wet staat expliciet dat uw (soort) organisatie bepaalde persoonsgegevens mag of moet verwerken. U heeft dan uitdrukkelijke juridische bevoegdheid. 
  3. In de wet staat niet expliciet dat u bepaalde persoonsgegevens mag of moet verwerken. Maar het ligt wel voor de hand dat u dat moet doen. Denk aan werkgevers die persoonsgegevens van hun medewerkers verwerken. Of verenigingen die de gegevens van hun leden verwerken. U heeft dan impliciete bevoegdheid. 

Verwerker

U bent verwerker als u persoonsgegevens verwerkt in opdracht van een andere organisatie. U gebruikt deze persoonsgegevens niet voor eigen doeleinden, u voert de verwerkingen alleen feitelijk uit. Omdat u niet de belangrijke beslissingen neemt, draagt u ook niet de verantwoordelijkheid. 

Verwerkt u ook persoonsgegevens buiten de opdracht van de andere organisatie? Of verwerkt u de persoonsgegevens voor uw eigen doeleinden? Dan neemt u wel belangrijke beslissingen en bent u als dienstverlener zelf daarvoor dus ook de verwerkingsverantwoordelijke. U moet zich dan daarvoor natuurlijk ook houden aan de eisen die gelden voor verwerkingsverantwoordelijken.

Als u een verwerker bent, moet u zich volledig houden aan de instructies van de organisatie die u de opdracht heeft gegeven om persoonsgegevens te verwerken. Maar dat is niet hetzelfde als rechtstreeks onderworpen zijn aan het gezag van de verwerkingsverantwoordelijke. 

Meer verwerkingsverantwoordelijken

Als u persoonsgegevens aan een andere organisatie verstrekt, betekent dat niet automatisch dat deze andere organisatie uw verwerker is. Het kan ook zijn dat u allebei verwerkingsverantwoordelijke bent, ook al gaat het om dezelfde persoonsgegevens. In dat geval moet zowel u als de ontvangende organisatie een eigen grondslag hebben. 

De vraag wanneer de andere organisatie geen verwerker is maar verwerkingsverantwoordelijke, hangt af van waar de feitelijke invloed ligt op het doel en de middelen van de verwerking. Oftewel: wie bepaalt voor welk doel de persoonsgegevens worden verwerkt en hoe dit gebeurt?

De andere organisatie is ook verwerkingsverantwoordelijke als deze:

  • de door u verstrekte gegevens voor eigen, zelf bepaalde doeleinden gebruikt;
  • alleen de middelen van de verwerking bepaalt, maar dit wel essentiële aspecten zijn.

Is de organisatie waaraan u gegevens verstrekt geen verwerker, maar verwerkingsverantwoordelijke? Dan hoeft u geen verwerkersovereenkomst met deze organisatie af te sluiten.

Het betekent ook dat deze organisatie zelf moet bepalen of de verwerkingen voldoen aan alle eisen van de AVG. Bijvoorbeeld of er een geldige grondslag is om de persoonsgegevens te verwerken.

Gezamenlijke verwerkingsverantwoordelijkheid

Werkt u samen met een of meer andere organisaties? En stelt u gezamenlijk doelen en middelen van een bepaalde verwerking vast? Dan is er sprake van gezamenlijke verwerkingsverantwoordelijkheid. 

Alle organisaties zijn dan verantwoordelijk voor de gezamenlijke verwerking. En moeten daarvoor ook een geldige 'eigen' grondslag hebben. 

U moet onderling goed regelen wie feitelijk zorgt dat aan verplichtingen van de AVG wordt voldaan. Deelnemende organisaties kunnen zich niet achter elkaar verschuilen, want elke deelnemende organisatie kan door betrokkenen worden aangesproken. 

Plichten verwerkingsverantwoordelijke

Als verwerkingsverantwoordelijke blijft u ook verantwoordelijk voor de verwerkingen die u uitbesteedt. Uw klanten, patiënten of burgers hebben hun persoonsgegevens immers aan uw organisatie toevertrouwd. Het is dus logisch dat u hun persoonsgegevens niet zomaar met een willekeurige andere organisatie mag delen.

Daarnaast heeft uw verwerker een aantal verantwoordelijkheden. Ook die moet aan bepaalde AVG-regels voldoen.

Eisen verwerking uitbesteden aan verwerker

Wilt u een verwerking uitbesteden aan een verwerker? Dan moet u voldoen aan een aantal specifieke eisen van de AVG. Dat zijn onder meer:

  • U moet een betrouwbare verwerker kiezen die aan de regels van de AVG voldoet. U moet bijvoorbeeld zeker genoeg weten dat de verwerker passende maatregelen treft om de persoonsgegevens te beveiligen.
  • U moet een verwerkersovereenkomst sluiten met uw verwerker. In die overeenkomst maakt u onder meer afspraken over de precieze opdracht van de verwerking. En wat de verwerker wel en niet met de verstrekte persoonsgegevens mag doen.
  • Het is uw verantwoordelijkheid om ervoor te zorgen dat mensen hun privacyrechten kunnen uitoefenen. Ook al gaat het om verwerkingen die u heeft uitbesteed. In de verwerkersovereenkomst legt u de werkafspraken hierover vast met de verwerker.
  • Heeft uw verwerker een datalek met persoonsgegevens die de verwerker in uw opdracht verwerkt? En gaat het om een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens (AP) en de slachtoffers? Dan is het uw verantwoordelijkheid om dat op tijd te melden. Een verwerker mag alleen datalekken bij de AP melden als u de verwerker daarvoor heeft gemachtigd.
  • In ieder geval legt u in de verwerkersovereenkomst vast dat de verwerker u zo snel mogelijk op de hoogte stelt zodra deze een datalek ontdekt. Een verwerker is dat volgens de AVG ook verplicht.

Tot slot moet u als verwerkingsverantwoordelijke natuurlijk ook aan alle andere regels van de AVG voldoen.

Plichten verwerker

De verwerkingsverantwoordelijke blijft verantwoordelijk voor de verwerking die aan u is uitbesteed. Maar als verwerker heeft u ook een aantal eigen verantwoordelijkheden. Niet alleen de verwerkingsverantwoordelijke, maar ook u moet aan bepaalde AVG-regels voldoen. Opdrachtgevers mogen dat ook van u verwachten. U onderscheidt zich bovendien positief wanneer u laat zien dat u de regels uit de AVG kent en u daaraan voldoet.

Als verwerker heeft u onder de AVG een aantal specifieke verplichtingen:
 

  • U moet zich volledig houden aan de instructies die u krijgt van de verwerkingsverantwoordelijke voor het verwerken van de persoonsgegevens. Tenzij deze instructies in strijd zijn met de wet. Volgt u de instructies van de verwerkingsverantwoordelijke niet? Dan beschouwt de AVG u niet als verwerker, maar als verwerkingsverantwoordelijke. Met bijbehorende verplichtingen. Let op: omdat u dan zelf vaak geen grondslag voor die  verwerkingen zult hebben, bent u al snel in overtreding.  
  • U moet een verwerkersovereenkomst hebben. Hiermee kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke.
  • U moet de persoonsgegevens passend beveiligen.
  • U mag alleen persoonsgegevens uitbesteden aan subverwerkers als u daarvoor schriftelijke toestemming van de verwerkingsverantwoordelijke heeft. De subverwerker moet minimaal hetzelfde niveau van gegevensbescherming bieden.
  • Heeft u een datalek met de persoonsgegevens die u in opdracht van een andere organisatie verwerkt? Dan is het uw plicht om de verwerkingsverantwoordelijke zo snel mogelijk te informeren. Deze heeft namelijk de plicht om bepaalde datalekken binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. En soms is een verwerkingsverantwoordelijke ook verplicht om de slachtoffers te informeren.
  • U heeft een verantwoordingsplicht. Afhankelijk van de grootte van uw organisatie moet u bijvoorbeeld een functionaris gegevensbescherming (FG) aanstellen. Of een verwerkingsregister bijhouden.