VERDIEPINGSARTIKEL

Richtlijnen voor het vaststellen van de verantwoordelijkheden voor gegevensbescherming

Zolang bij een verwerking van persoonsgegevens maar één partij betrokken is, dan is het duidelijk wie de verantwoordelijkheid draagt. Als er echter meerdere partijen betrokken zijn, moet er duidelijkheid zijn over de eigenaar van de verantwoordelijkheid. In dit artikel leest u hoe het zit met dit ingewikkelde onderwerp.


4 november 2019 5 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


Wie is er verantwoordelijk?

De Algemene Verordening Gegevensbescherming (AVG) stelt eisen aan de bescherming van persoonsgegevens door organisaties. Het belangrijkste doel is het borgen van de bescherming van fundamentele rechten en vrijheden van individuen. Een belangrijk aspect hierin is duidelijkheid voor het individu: wie is verantwoordelijk voor de verwerking van zijn of haar persoonsgegevens? De AVG stelt daarom eisen aan het vaststellen en vastleggen van en het communiceren over deze verantwoordelijkheid.

De belangrijkste begrippen

 

Verwerkersverantwoordelijke

De AVG stelt dat degene die het doel en de middelen voor een verwerking vaststelt, de Verwerkersverantwoordelijke is. Deze partij wordt soms ook wel de Verantwoordelijke genoemd. De Engelse term drukt beter uit welke taak deze partij heeft: Controller. Het is de Verwerkingsverantwoordelijke die de controle heeft over de verwerking. Er zijn drie manieren hoe de controle kan worden vastgesteld:

  1. Expliciete wettelijke competentie:
    De wet stelt een taak of verplichting vast voor een organisatie, die de verwerking van persoonsgegevens inhoudt, waarmee deze organisatie de Verwerkersverantwoordelijke voor die verwerking is. Denk bijvoorbeeld aan de verwerking in het kader van de Wet op de geneeskundige behandeling en onderzoek (Wgbo).
  2. Impliciete competentie:
    Controle over een verwerking wordt niet uitgeoefend vanuit een wettelijke verplichting, maar is gebaseerd op meer algemene juridische praktijk vanuit bijvoorbeeld handelsrecht of arbeidsrecht. Denk aan een werkgever die werknemersgegevens verwerkt. De verwerking kan gezien worden als de invulling van bestaande traditionele rollen bij de functionele rol van een organisatie.
  3. Feitelijke invloed:
    Toewijzing van verantwoordelijkheid ontstaat op basis van een analyse van de feitelijke omstandigheden. Als er geen directe duidelijkheid is over de verantwoordelijkheid, dient een analyse gemaakt te worden. Hierbij moet rekening gehouden worden met:
    -de mate van werkelijk uitgeoefende controle;
    -de indruk die wordt gewekt bij betrokkenen;
    -de redelijke verwachtingen van de betrokkenen op basis van zichtbaarheid.

Als er geen directe duidelijkheid is vanuit wettelijke verplichtingen of voorzieningen, dan dient er dus goed gekeken te worden naar de feitelijke invloed op een verwerking om vast te stellen wie de Verwerkingsverantwoordelijke is.

Verwerker

De Engelse term voor Verwerker is ‘Processor’. In combinatie met de term voor de verantwoordelijke is ook hier de taakstelling duidelijk: de Controller bepaalt en de Processor voert uit. Een Verwerker is wél verantwoordelijk voor de uitvoering van de eigen werkzaamheden. Een Verwerker is een onafhankelijke partij die in geschreven opdracht persoonsgegevens verwerkt. Er zijn een paar elementen belangrijk bij een Verwerker:

  • Een Verwerker is altijd een onafhankelijke partij. Bijvoorbeeld: een HR-afdeling van een moederbedrijf vervult geen Verwerkersrol wanneer persoonsgegevens van werknemers van de dochteronderneming worden verwerkt.
  • De verwerking moet plaats vinden in opdracht van de Verantwoordelijke.
  • De opdracht moet schriftelijk zijn gegeven.
  • De Verwerker bepaalt niet wat het doel is van de verwerking.
  • De Verwerker mag de persoonsgegevens niet gebruiken voor doelen die zij zelf opstelt.

Bij de schriftelijke opdracht moeten een aantal afspraken worden gemaakt ten aanzien van de verantwoordelijkheid betreffende de persoonsgegevens. Deze afspraken worden gewoonlijk in een Verwerkersovereenkomst gezet.

Gezamenlijk verantwoordelijken

Het verhaal wordt iets complexer als twee of meer partijen gegevens gaan verwerken. Er kunnen hierbij meerdere scenario’s zich voordoen:

  1. Partijen zijn onderdeel van een concern en hebben samen baat bij een bepaalde verwerking. Denk bijvoorbeeld aan de samenwerking tussen de dochteronderneming en het hoofdkantoor op het gebied van HR.
  2. Partijen hebben beide baat bij een uitwisseling van gegevens, zonder dat er sprake is van een opdracht tot verwerking van de persoonsgegevens. Denk bijvoorbeeld aan een bloemist, die opdracht krijgt om een boeket te bezorgen bij een ziekgemelde werknemer van een andere organisatie. De adresgegevens zijn noodzakelijk voor de bloemist om de dienst uit te kunnen voeren. De bloemist krijgt niet de opdracht om de verzuimgegevens van de organisatie te registreren.
  3. Partijen hebben beide baat bij een gemeenschappelijke database. Als beide partijen van betrokkenen gegevens willen registreren, dan kunnen ze ervoor kiezen om gezamenlijk een database aan te leggen. Denk hierbij aan partijen die bijvoorbeeld samen een database aanleggen om medische dossiers te kunnen beheren.

In situatie 1 en 3 vereist de AVG onder meer dat er specifiek vastgelegd wordt hoe de verantwoordelijkheid is bepaald en wie is het aanspreekpunt voor betrokkenen. Voor situatie 2 hoeft in beginsel voor de AVG niets te worden vastgelegd. De AVG gaat ervan uit dat een partij geen gegevens doorgeven aan een volgende partij als de volgende partij niet betrouwbaar is. Het doorgeven van de informatie moet beheerst worden gedaan. Dat kan alleen als u ervan overtuigd bent dat de ontvangende partij betrouwbaar is; een en ander uiteraard in verhouding tot de risico’s die gepaard gaan met de uitwisseling van gegevens.

Uitleg bij verschillende situaties

 

  1. Verantwoordelijke – Verwerker

    De Verantwoordelijke geeft opdracht aan de Verwerker om gegevens te verwerken. De Verwerker verwerkt de gegevens in een database, maar de gegevens blijven van de Verantwoordelijke. Bij beëindiging van de overeenkomst tussen de partijen moet de Verwerker de gegevens vernietigen óf overdragen aan de Verantwoordelijke, dit naar keuze van de Verantwoordelijke.

    Het bestaan van een Verwerker is afhankelijk van een besluit van een Verantwoordelijke, die kan besluiten om gegevens binnen zijn eigen organisatie te verwerken of om de verwerkingen geheel of gedeeltelijk uit te besteden aan een andere organisatie.

    In deze situatie – en alléén in deze situatie – legt u in een Verwerkersovereenkomst vast. Hierin staat wie welke rol speelt en welke verantwoordelijkheden er zijn. De AVG verwacht van de Verwerkingsverantwoordelijke dat deze het initiatief neemt om de verwerkersovereenkomst vast te stellen. In de praktijk komt het omgekeerde ook voor. Vaak biedt een grote verwerker één standaard verwerkersovereenkomst aan, die geaccepteerd kan worden of niet. Het is dan aan de verwerkingsverantwoordelijke om te kiezen met deze partij in zee te gaan of niet.

  2. Gezamenlijk verantwoordelijken

    In deze situatie hebben meerdere partijen besloten om gezamenlijk één database te gebruiken. In deze situatie moet er ook op papier worden gezet hoe de relatie is gedefinieerd; wie het aanspreekpunt is voor de betrokkenen en wat er gebeurt met de data als partijen uit elkaar gaan. Het is verstandig om voor de vastlegging een specialist te raadplegen. Het is niet mogelijk om hiervoor een standaarddocument ter beschikking te stellen, omdat uw specifieke situatie erin moet worden verwerkt.

  3. Doorgifte aan een andere Verantwoordelijke

    In deze situatie verwerkt Verantwoordelijke 2 persoonsgegevens die van Verantwoordelijke 1 zijn verkregen. Maar deze verwerking is op eigen initiatief, met eigen doelen en middelen. Vastlegging van verantwoordelijkheden onderling is niet vereist. Er wordt wél vanuit gegaan dat de verzendende partij, Verantwoordelijke 1, goed met persoonsgegevens omgaat. De ontvangende leverancier moet op dit aspect worden beoordeeld vóórdat er persoonsgegevens worden uitgewisseld. U kunt met deze partij wél afspraken maken over de persoonsgegevens. Misschien zou u de ander willen laten beloven dat hij de gegevens veilig verwerkt, niet doorverkoopt, niet gebruikt om gepersonaliseerde reclame te maken, etc. Dit doet u dan op grond van het kiezen van en maken van afspraken met betrouwbare leveranciers. De normen voor informatiebeveiliging NEN 7510 en ISO 27001 stellen dit overigens ook als eis.

  4. Verantwoordelijken in één concernrelatie

    De beide Verantwoordelijken behoren tot één concern en delen gegevens in verband met hun onderlinge relatie. De HR-afdeling van het hoofdkantoor verwerkt bijvoorbeeld voor alle dochterondernemingen de salarisadministratie. Omdat er een juridische entiteit – Verantwoordelijke 1 – de persoonsgegevens van een andere juridische entiteit – Verantwoordelijke 2 – verwerkt, maar er een afhankelijkheidsrelatie bestaat tussen de partijen, moet er in een overeenkomst worden vastgelegd welke partij welke verantwoordelijkheid draagt. Dit is niet hetzelfde als een verwerkersovereenkomst. Ook voor deze situatie is het verstandig om voor de vastlegging een specialist te raadplegen. Het is niet mogelijk om een standaarddocument hiervoor ter beschikking te stellen, omdat uw specifieke situatie er in moet worden verwerkt.

Met de toolbox Privacymanagement: de controle en optimalisatie in 8 stappen heeft u allerlei handige hulpmiddelen bij de hand die u onder andere helpen bij het afsluiten en controleren van verwerkersovereenkomsten.