Verwerken van persoonsgegevens: bent u verwerkingsverantwoordelijke of verwerker?

Bijna iedere onderneming verwerkt persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei a.s. van kracht zal zijn. Toch is ons gebleken dat het niet voor iedereen altijd duidelijk is in welke situaties er sprake is van een verwerking van persoonsgegevens. Bovendien wordt ons vaak de vraag gesteld wanneer men wordt aangemerkt als verwerkingsverantwoordelijke of als verwerker. Wij leggen het uit.

Verwerkt u persoonsgegevens?
De AVG is van toepassing als u, kort samengevat, persoonsgegevens verwerkt. Daarvoor is het dus allereerst van belang om vast te stellen of de handelingen die u uitvoert kunnen worden aangemerkt als een ‘verwerking’ en of de gegevens die u verwerkt kunnen worden aangemerkt als ‘persoonsgegevens’.

Bovendien ‘dient de verwerking geheel of gedeeltelijk geautomatiseerd plaats te vinden of dienen de persoonsgegevens te zijn opgenomen in een bestand, dan wel bestemd te zijn om opgenomen te worden in een bestand’. De persoonsgegevens die u bijvoorbeeld op een post-it noteert – die u vervolgens niet opneemt in een dossier – vallen hier dus niet onder.

Is er sprake van een verwerking?
De AVG kent een zeer ruime definitie van het begrip ‘verwerking’. Een verwerking is namelijk elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens. Als bewerking wordt bijvoorbeeld aangemerkt het verzamelen, vastleggen, ordenen, bewaren/opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, verstrekken, samenbrengen, afschermen of wissen en vernietigen van persoonsgegevens.

In de praktijk betekent dit dat een bewerking die u uitvoert al zeer snel wordt aangemerkt als een verwerking van persoonsgegevens in de zin van de AVG.

Is er sprake van een persoonsgegeven?
De AVG is alleen van toepassing op een verwerking van persoonsgegevens. Volgens de AVG zijn persoonsgegevens alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. De natuurlijk persoon op wie de persoonsgegevens die u verwerkt betrekking hebben wordt de ‘betrokkene’ genoemd.

Dat het om gegevens van een natuurlijk persoon moet gaan, betekent dat er geen sprake is van een verwerking van persoonsgegevens als u gegevens verwerkt van een rechtspersoon / onderneming. Kan de onderneming echter vereenzelvigd worden met een natuurlijk persoon, dan kan er weer wel sprake zijn van een verwerking. Dit is bijvoorbeeld het geval als u de omzet van een eenmanszaak verwerkt. Dit zegt tenslotte iets over het inkomen van de eigenaar van de eenmanszaak.

Er is sprake van een geïdentificeerd of identificeerbaar persoon, op het moment dat de identiteit van deze persoon door gebruik van de door u verwerkte gegevens redelijkerwijs en zonder onevenredige inspanning kan worden vastgesteld. Daarvan is bijvoorbeeld sprake als u de door u verwerkte gegevens (zoals een telefoonnummer) kunt koppelen aan direct identificerende gegevens (zoals een naam). Ook als de door u verwerkte gegevens in hun onderlinge combinatie slechts betrekking kunnen hebben op één persoon is er sprake van een geïdentificeerd of identificeerbaar persoon.

Wanneer bent u de verwerkingsverantwoordelijke?
U kunt als de verwerkingsverantwoordelijke worden aangemerkt als u alleen of samen met anderen bepaalt:

  1. welke persoonsgegevens worden verzameld,
  2. waarom de persoonsgegevens worden verzameld (doel), e
  3. de manier waarop de persoonsgegevens worden verzameld (middelen).

U kunt dus bijvoorbeeld als verwerkingsverantwoordelijke worden aangemerkt ten aanzien van de persoonsgegevens die u van uw medewerkers verwerkt. U bepaalt dan tenslotte welke persoonsgegevens worden verzameld (onder andere NAW-gegevens), waarom deze persoonsgegevens worden verzameld (ten behoeve van de arbeidsovereenkomst) en op welke manier deze persoonsgegevens worden verwerkt (bijvoorbeeld digitaal).

Wanneer bent u een verwerker?
Het komt in de praktijk veelvuldig voor dat de verwerkingsverantwoordelijke personen of ondernemingen inschakelt om voor hem persoonsgegevens te verwerken. De persoon of onderneming die deze persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke verwerkt wordt de verwerker genoemd. De verwerker bepaalt dan niet zelf welke, waarom en op welke manier de persoonsgegevens worden verzameld, dat bepaalt de verwerkingsverantwoordelijke.

Om als verwerker te worden aangemerkt, moet de verwerking van persoonsgegevens in principe uw primaire opdracht zijn. Is de verwerking van persoonsgegevens niet uw primaire opdracht, maar vloeit dit voort uit een van uw dienstverleningen, dan wordt u waarschijnlijk als de verwerkingsverantwoordelijke aangemerkt. Ook wanneer u onderworpen bent aan het rechtstreekse gezag van de verwerkingsverantwoordelijke (zoals bij medewerkers) is er geen sprake van verwerkerschap, maar van intern beheer.

Een administratiekantoor die de salarisadministratie uitvoert voor haar klanten is bijvoorbeeld een verwerker. Die bepaalt immers niet welke gegevens worden verzameld en waarom deze worden verzameld, maar oefent feitelijk gezien wel invloed uit over de verwerking van deze persoonsgegevens.

Moet ik een verwerkersovereenkomst sluiten?
Wanneer er sprake is van een verwerkingsverantwoordelijke die een verwerker inschakelt om ten behoeve van hem persoonsgegevens te verwerken en zonder dat die verwerker aan diens rechtstreekse gezag is onderworpen, dient er een verwerkersovereenkomst te worden afgesloten.

Momenteel is het de plicht van de verwerkingsverantwoordelijke om een verwerkersovereenkomst met zijn verwerkers te sluiten. Onder de AVG wordt dit echter een gedeelde verantwoordelijkheid. Zowel de verwerkingsverantwoordelijke als de verwerker kunnen vanaf 25 mei 2018 door de Autoriteit Persoonsgegevens worden aangesproken op het niet afsluiten van een verwerkersovereenkomst.

De verwerkersovereenkomst moet onder de AVG onder meer afspraken bevatten aangaande vertrouwelijkheid, beveiligingsmaatregelen, eventuele sub-verwerkers, audits en de rechten van betrokkenen. Daarover kunt u meer lezen in ons artikel omtrent Stap 9 van ons Stappenplan AVG.

Heeft u nog AVG of andere privacy gerelateerde vragen?
Weet u niet zeker of u persoonsgegevens verwerkt? Of twijfelt u of u als verwerkingsverantwoordelijke of als verwerker kan worden aangemerkt? Neem dan gerust contact op met mij of één van mijn mede AVG-specialisten.

Download het complete stappenplan ter voorbereiding op de AVG of bekijk de webinars
Om u bij de voorbereiding te helpen, hebben wij voor u een Stappenplan AVG opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks AVG-proof. Het stappenplan bestaat in totaal uit 10 stappen.

Liever de webinars bekijken? Dat kan ook.

Over de auteurs
Deze blog is een bijdrage van mr. Zoë van den Aardweg en mr. Steffie Schepers, advocaten bij RWV advocaten in Leiden.

Reageer

avatar
  Subscribe  
Ontvang alerts
SLUIT
CLOSE