Verwerkingsverantwoordelijke, verwerker en de verwerkingsovereenkomst

/in /door

In dit deel deel van de serie over privacyrecht in de zorg zal worden ingegaan op de begrippen “verwerkingsverantwoordelijke“, “verwerker” en “verwerkingsovereenkomst“. Voor de andere delen kunt u hier klikken.

Inleiding

Onder verantwoordelijke wordt verstaan de natuurlijk persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel en de middelen van de verwerking van persoonsgegevens vaststelt.1 Onder verwerker wordt verstaan degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen.2

Verantwoordelijke

Om te bepalen wie als verantwoordelijke moet worden aangemerkt, wordt eerst gekeken naar de vraag wie juridisch bevoegd is om het doel van de gegevensverwerking vast te stellen.3 Het vaststellen van de middelen voor de verwerking kan immers door de verantwoordelijke worden gedelegeerd voor wat betreft technische of organisatorische aspecten. De formele bevoegdheden dienen het aanknopingspunt te zijn in plaats van de feitelijke machtsverhouding, omdat deze laatste voor de betrokkene minder transparant zijn. Voor zover echter in een concreet geval niet duidelijk zou zijn wie bevoegd is en meerdere personen of instanties betrokken zijn bij de gegevensverwerking en in verband met de aard van die betrokkenheid in aanmerking komen om als verantwoordelijke te worden aangeduid, dient aan de hand van algemeen in het maatschappelijk verkeer aanvaarde maatstaven te worden bezien aan wie een bepaalde gegevensverwerking moet worden toegerekend.
In het geval de formele bevoegdheden botsen met de feitelijke benadering, zal moeten worden beoordeeld of de feitelijke benadering dusdanig afwijkt dat deze zwaarder moet wegen dan de formele bevoegdheden. Om te bepalen wie als verantwoordelijke moet worden aangemerkt, dient immers te worden bepaald wie het doel “vaststelt” en niet wie het doel “rechtmatig vaststelt”.4 Het is niet relevant of het besluit om gegevens te verwerken rechtmatig was in de zin dat de entiteit die een dergelijk besluit nam, daartoe juridisch bevoegd was. Naast de vraag wie het doel vaststelt, dient voorts te worden bepaald hoeveel gewicht moet worden toegekend aan de vrijheid van handelen bij het vaststellen van doelen en aan de manoeuvreerruimte bij het nemen van beslissingen.5
Naast een enkele verantwoordelijke, kan er sprake zijn van gezamenlijke verantwoordelijkheid (zie afbeelding 1).6 Dit kan het geval zijn bij bedrijven die andere bedrijven ondersteunen met recruitment. In het geval bedrijf A door bedrijf B wordt ondersteund in het zoeken naar nieuw personeel waarbij bedrijf B een eigen database heeft van werkzoekenden, kan bedrijf B samen met bedrijf A worden aangemerkt als verantwoordelijke. Bedrijf B handelt dan wel volgens de overeenkomst namens bedrijf A, maar verwerkt ook gegevens van werkzoekenden die niet bij bedrijf A solliciteren, maar zich slechts bij bedrijf B hebben ingeschreven. Bedrijf B wordt derhalve aangemerkt als verantwoordelijke voor alle gegevens die zij verzamelen, maar wordt ook aangemerkt als verwerker voor de gegevens die zij verwerken namens bedrijf A.7
Afbeelding 1
Gezamenlijke verantwoordelijkheid moet echter niet worden verward met afzonderlijke verantwoordelijkheid. Bij het opvragen van het burgerservicenummer via de SBV-Z dienst door organisatie A, verwerken organisatie A en SBV-Z weliswaar dezelfde gegevens, maar zullen de twee entiteiten als twee afzonderlijke voor de verwerking verantwoordelijken worden aangemerkt, omdat er in onvoldoende mate sprake is van een gezamenlijk doel of gezamenlijke middelen voor deze gegevensverwerking (zie afbeelding 2).8
Afbeelding 2

Verwerker

Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegeven gepaard gaat.9 De verwerker is allereerst een buiten de organisatie van de verantwoordelijke staande persoon of instelling. Daar waar een hiërarchische relatie bestaat met de verantwoordelijke moet worden gesproken van (intern) beheer.
De verwerker beperkt zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van gegevens enz. Voor de afgrenzing van het begrip verwerker ten opzichte van het begrip verantwoordelijke is de inhoud van de verwerkingsovereenkomst die de verwerker sluit met de verantwoordelijke van belang.10 Er kan voorts sprake zijn van een subverwerker wanneer de verantwoordelijke in zijn overeenkomst met de verwerker uitdrukkelijk ruimte heeft gegeven om de verwerker delen van de verwerking uit te laten besteden aan deze subverwerker.11
Naast de inhoud van de overeenkomst tussen verantwoordelijke en verwerker, is echter ook van belang hoe het een en ander zich vervolgens in de praktijk ontwikkelt. Als een extern bureau werkzaamheden verricht voor de verantwoordelijke en zich daarbij volledig aan de instructies van de verantwoordelijke onderwerpt en uitsluitend onder diens verantwoordelijkheid gegevens opslaat, is het externe bureau verwerker. Een pensioenadviesbureau kan echter niet meer als verwerker worden beschouwd indien zij de gegevens tevens gebruikt voor een informatiesysteem dat zich onttrekt aan de onderliggende contractuele relatie. In dat geval verkrijgt het bureau immers de gegevens (mede) ten behoeve van zichzelf en wordt het (mede)verantwoordelijke.

Verwerkingsovereenkomst

Wanneer duidelijk is dat er sprake is van een verantwoordelijke-verwerkerverhouding, dient er een verwerkingsovereenkomst worden afgesloten.12 Deze verplichting geldt alleen voor de relatie tussen de verantwoordelijke en de verwerker. In deze overeenkomst moeten de volgende aspecten worden opgenomen:

  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking;
  • het soort persoonsgegevens en de categorieën van betrokkenen; en
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Daarnaast moet de overeenkomst bepaalde verplichting op de verwerker leggen, namelijk dat de verwerker:

  • de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verantwoordelijke;
  • alleen persoonsgegevens laat verwerken door de verwerker die personen in dienst heeft die vertrouwelijkheid in acht nemen;
  • passende technische en organisatorische maatregelen treft ten behoeve van de beveiliging van de gegevens en verwerkingen daarvan;
  • geen andere (sub)verwerker in dienst neemt zonder toestemming van de verantwoordelijke;
  • de verantwoordelijke bijstand verleent bij het doen nakomen van zijn verplichtingen; en
  • na afloop van de overeenkomst alle persoonsgegevens wist of terugbezorgt.

Doordat de verwerkingsovereenkomst een bepaalde verplichting legt op de verwerker, dient goed te worden beoordeeld of de verwerker daadwerkelijk een verwerker is en niet kan worden aangemerkt als een verantwoordelijke. In het geval dat dit gebeurt, neemt de verwerker (die eigenlijk verantwoordelijke is) bijvoorbeeld de verplichting op zich dat hij niet het doel en de middelen mag vaststellen.

Conclusie

De scheidslijn tussen verantwoordelijke en verwerker kan soms niet duidelijk zijn. Degene die in de praktijk het doel en de middelen vaststelt, dient te worden aangemerkt als verantwoordelijke. De verwerker is altijd ondergeschikt aan de verantwoordelijke en bepaalt niet zelfstandig het doel en de middelen. Zeker in het geval van meerdere verantwoordelijken dient goed te worden gekeken naar de praktijk. In het geval een verantwoordelijke een verwerkingsovereenkomst tekent waarin staat dat hij een verwerker is, sluit hij zich klem en kan hij niet zelf het doel en de middelen bepalen voor de verwerking van persoonsgegevens.

  1. Artikel 1 sub d Wbp.
  2. Artikel 1 sub e Wbp.
  3. Kamerstukken II, 1997/98, 25892, nr. 3, p. 16.
  4. Artikel 29 Werkgroep, “Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker'”, p. 11.
  5. Artikel 29 Werkgroep, “Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker'”, p. 15 – 16.
  6. Kamerstukken II, 1997/98, 25892, nr. 3, p. 55.
  7. Artikel 29 Werkgroep, “Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker'” , p. 22
  8. Artikel 29 Werkgroep, “Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker'”, p. 24.
  9. Kamerstukken II, 1997/98, 25892, nr. 3, p. 61.
  10. Kamerstukken II, 1997/98, 25892, nr. 3, p. 62.
  11. Kamerstukken II, 1997/98, 25892, nr. 3, p. 63.
  12. Artikel 28 lid 3 AVG.