Als je als zelfstandig ondernemer, bedrijf of organisatie (handmatig of geautomatiseerd) persoonsgegevens verwerkt, dan heb je te maken met de AVG. De inhoud van de AVG is nog steeds wel eens lastig. Wanneer ben je bijvoorbeeld verwerkingsverantwoordelijke en wanneer verwerker? En welke verantwoordelijkheden heb je in beide rollen? In dit blog leggen we het je uit.

Waar liggen de verantwoordelijkheden?

Het is soms lastig te bepalen wat je op welk moment bent. Een verwerkingsverantwoordelijke is en blijft verantwoordelijk voor de persoonsgegevens die worden verwerkt. Dat is ook het geval als je de verwerking uitbesteedt aan een derde partij. Maar de verwerker van persoonsgegevens heeft ook verantwoordelijkheden en moet zich ook aan bepaalde AVG-regels houden. Wanneer zit je nu in welke rol? En wat betekent dat voor jouw praktijk?

Wat zijn zoal de verantwoordelijkheden?

Als verwerkingsverantwoordelijke en als verwerker van persoonsgegevens heb je andere verantwoordelijkheden. Als verwerker moet je bijvoorbeeld de instructies van de verantwoordelijke opvolgen, je moet de persoonsgegevens passend beveiligen en mag je persoonsgegevens alleen met schriftelijke toestemming uitbesteden. In het geval van een datalek moet je dat direct melden bij de verantwoordelijke en heb je een verantwoordingsplicht.

Als verwerkingsverantwoordelijke moet je er onder andere voor zorgen dat je een betrouwbare verwerker inzet. Er moet een verwerkersovereenkomst zijn met de verwerker, je moet ervoor zorgen dat mensen hun privacyrechten kunnen uitoefenen en je moet correct handelen als sprake is van een datalek.

Bovenstaande verantwoordelijkheden zijn niet volledig en natuurlijk zijn er ook uitzonderingen. Maar om te weten wat je moet doen in welke rol, is het van belang dat je weet welke rol jij op welk moment hebt.

Wie is de verwerkingsverantwoordelijke?

Degene die het doel en de middelen voor het verwerken van persoonsgegevens bepaalt, is de verwerkingsverantwoordelijke. In de praktijk wordt ook gesproken over ‘verantwoordelijke’, maar daarmee bedoelen we in het kader van de AVG hetzelfde. De verantwoordelijke bepaalt dus waarom (het doel) persoonsgegevens worden verzameld en hoe (met welke middelen) dat gebeurt. Een verantwoordelijke kan een persoon of een organisatie zijn.

Wie is dan de verwerker?

De verwerker is een externe persoon of organisatie die de verwerking van de persoonsgegevens uitvoert. Dit is dus niet de werknemer van de verantwoordelijke of iemand die onder het rechtstreekse gezag van de verantwoordelijke valt, zoals een ingehuurde zzp’er. De verwerker krijgt van de verantwoordelijke de opdracht om voor het bepaalde doel de persoonsgegevens te verwerken. De externe partij is verwerker als:

  1. sprake is van een (geschreven) opdracht; om
  2. persoonsgegevens te verwerken; en
  3. dit namens de verwerkingsverantwoordelijke doet.

Het moet dus wel specifiek gaan om het verwerken van persoonsgegevens namens de verantwoordelijke.

Kan dat ook anders zijn?

Jazeker. Je kunt ook nog zelfstandig verwerkingsverantwoordelijke zijn. Dat ben je als je persoonsgegevens ontvangt om een bepaalde opdracht uit te voeren, maar die opdracht is niet het verwerken van persoonsgegevens. Kriton verzorgt bijvoorbeeld trainingen in opdracht van bedrijven. Voor de registratie van de aanwezigheid en het uitgeven van certificaten van deelname ontvangen wij dan de persoonsgegevens van de deelnemers van dat bedrijf. Het bedrijf vraagt ons om een training te geven. Dat bedrijf vraagt ons niet expliciet om persoonsgegevens te verwerken. Wij zijn dan zelfstandig verwerkingsverantwoordelijke en geen verwerker.

Kun je ook beide rollen hebben?

Ja dat kan. Een organisatie kan beide rollen hebben. Alleen niet voor eenzelfde soort verwerking. Een accountantskantoor is een goed voorbeeld. Als je als accountantskantoor voor een klant de salarisadministratie verzorgt, dan verwerk je persoonsgegevens voor die klant. Het accountantskantoor is dan verwerker.

Het accountantskantoor heeft echter zelf ook personeel in dienst, waarvoor de persoonsgegevens verwerkt moeten worden. Daarvoor is het accountantskantoor dan de verantwoordelijke. Maar geef je als accountantskantoor een andere organisatie de opdracht om de salarisadministratie van jouw klant te verzorgen? Dan ben jij de verantwoordelijke en is die andere partij de verwerker.

Ga voor iedere opdracht na of je verwerker of verantwoordelijke bent, of beide. Een handig hulpmiddel is de voorbeeldlijst: verwerker of verwerkingsverantwoordelijke?‘ van de Autoriteit Persoonsgegevens.

Meer weten?

Wil je meer weten over de AVG? Volg dan onze e-learning AVG. In deze e-learning krijg je snel en op duidelijke wijze inzicht in de belangrijkste onderdelen van de AVG en in de praktische toepassing ervan in jouw praktijk.