Privacy, de fundamenten: Verwerkers en Verwerkingsverantwoordelijken

Show Notes

​​Wat is een verwerker en een verwerkingsverantwoordelijke en wanneer ben je dat als organisatie? Zijn er praktische handvatten om vast te stellen wanneer je je kwalificeert als een van deze? En wat is een verwerkersovereenkomst en waar moet je rekening mee houden bij het opstellen daarvan? 

​In deze aflevering wordt hierop ingegaan met Lars de Bie, Senior Inspecteur Systeemtoezicht bij Autoriteit Persoonsgegevens.  

​Deze serie is mede mogelijk gemaakt door CIO Rijk.​

Transcript

Walter van Wijk: Dit is een podcast van het CIP, Centrum voor Informatiebeveiliging en Privacybescherming. Deze podcast is een serie korte boodschappen met als titel 'Privacy, de fundamenten'. In deze aflevering gaan we in op verwerkingsverantwoordelijken en verwerkers. Vandaag hebben we Lars de Bie te gast. Hij is Senior Inspecteur Systeemtoezicht bij de Autoriteit Persoonsgegevens. Lars weet veel van verwerkingsverantwoordelijkheid. Dat woord wordt niet vaak gebruikt, maar meer de persoonlijke variant ervan. Laten we gelijk in het diepe springen, Lars. Wat is de verwerkingsverantwoordelijke en wanneer ben je dat als organisatie?

Lars de Bie: De verwerkingsverantwoordelijke bepaalt hoe de verwerking eruit ziet. Het kan zowel een bedrijf zijn als een stichting. Ook een overheidsorganisatie of natuurlijk persoon kan als verwerkingsverantwoordelijke kwalificeren. De verwerkingsverantwoordelijke is in veel gevallen de normadressaat in de AVG. De verwerkingsverantwoordelijke moet regelen dat hij voldoet aan de beginselen van de AVG, ervoor zorgen dat de rechten van betrokkenen kunnen worden uitgeoefend en datalekken melden bij de AP, als die zich voordoen. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Dat zijn abstracte begrippen. Ze zijn nader vormgegeven in de guidelines van de EDPB, de Europese samenwerking van Toezichthouders, en de rechtspraak van het Hof van Justitie.

Lars de Bie: Simpel gezegd kun je kijken naar hoe de verwerking wordt vormgegeven. Hoe gaan we dit aanpakken? Welke systemen gebruiken we daarbij? Waarom verwerken we deze persoonsgegevens? Een wet bepaalt dat een bepaalde partij de verwerkingsverantwoordelijke is. In de Kadasterwet wordt het Kadaster aangewezen als de verwerkingsverantwoordelijke voor verschillende verwerkingen die zij uitvoert. Het begrip verwerkingsverantwoordelijke dient ruim te worden uitgelegd, om ervoor te zorgen dat betrokkenen een doeltreffende en volledige bescherming genieten. Omdat deze vraag zo belangrijk is in het systeem van de AVG, zie je dat er veel jurisprudentie is die houvast kan bieden om te bepalen of je als verwerkingsverantwoordelijke of iets anders kwalificeert.

Lars de Bie: Er kan worden gekeken naar verschillende relevante zaken, zoals die van Jehova’s Getuigen, Fashion ID, Wirtschaftsakademie en IAB Europe. Er is een zaak uit Litouwen met een moeilijke naam, geregistreerd onder C-nummer 68321. De AP heeft recent enkele adviezen uitgebracht waarin zij ingaat op de vraag wanneer een partij als verwerkingsverantwoordelijke voor een specifiek onderdeel kwalificeert. Voorbeelden hiervan zijn het advies aan het Ministerie van BZK over Facebook en een advies aan een onderwijsinstelling die overweegt een sociaal medium te gebruiken.

Walter van Wijk: Zegt de wet iets over een gezamenlijke verwerkingsverantwoordelijke? Kun je daar wat over zeggen?

Lars de Bie: Het gaat om meerdere partijen die samenwerken en samen het doel en de middelen vaststellen. Als je dat samen doet, ben je gezamenlijk verwerkingsverantwoordelijke. De voorwaarde is dat iedereen zelfstandig kwalificeert als een verwerkingsverantwoordelijke en dat met anderen doet. Dat kan op verschillende manieren plaatsvinden. Je kunt gezamenlijk een besluit nemen of twee besluiten apart. Deze besluiten lopen zodanig samen dat ze elkaar aanvullen en noodzakelijk zijn om de verwerking te laten plaatsvinden. Het betekent daarentegen niet dat iedereen altijd even verantwoordelijk is voor elk onderdeel van de verwerking. Het is mogelijk dat je in verschillende stadia en mate betrokken bent bij de verwerking.

Lars de Bie: Dat betekent niet dat je daardoor geen gezamenlijk verwerkingsverantwoordelijke meer bent. Als je gezamenlijk verwerkersverantwoordelijke bent, moet je ervoor zorgen dat je bepaalde dingen vastlegt op een transparante manier. Je moet aan betrokkenen uitleggen waar zij hun rechten kunnen uitoefenen. Als je dit niet doet, betekent dit niet automatisch dat je geen verwerkingsverantwoordelijke meer bent. Tot slot nog een belangrijke opmerking. Het voelt misschien een beetje tegenstrijdig, maar het is geen vereiste dat je toegang of inzicht hebt in de persoonsgegevens. Ook als je slechts geaggregeerde statistieken ziet, kun je nog steeds medeverantwoordelijk zijn, als je maar voldoet aan de criteria.

Lars de Bie: Een voorbeeld hiervan is het gebruik van een socialmediapagina voor bedrijfsdoeleinden of het toepassen van cookies en trackingtechnologieën van derden op een website.

Walter van Wijk: Nu hebben we het over verwerkingsverantwoordelijke. Wanneer ben je een verwerker?

Lars de Bie: Een verwerker is een organisatie die persoonsgegevens voor anderen verwerkt. Die anderen zijn dan de verwerkingsverantwoordelijken. Die verwerker mag dat alleen doen wanneer hij daarvoor de opdracht heeft gekregen van de verwerkingsverantwoordelijke. Het moet daarbij gaan om een externe partij. Als jij intern van afdeling A de opdracht hebt gekregen om een verwerking voor hen uit te voeren, is de organisatie als geheel de verwerkingsverantwoordelijke. Het gaat om dezelfde entiteit. Als verwerker is het niet de bedoeling dat jij voor je eigen doeleinden persoonsgegevens gaat verwerken. Je mag alleen doen waar je de instructie voor hebt gekregen van de verwerkingsverantwoordelijke. Als je dat wel doet, overtreed je de AVG.

Lars de Bie: Er kunnen sancties worden opgelegd, zowel door de AP op grond van een schending van de AVG, als door de verwerkingsverantwoordelijke wanneer de verwerkersovereenkomst wordt geschonden. Belangrijk om hierbij op te merken, is dat niet elke leverancier of dienstverlener automatisch verwerker is. Je moet kijken naar wat de partij doet met de gegevens om vast te stellen welke rol zij in de verwerking hebben.

Walter van Wijk: Jij noemt nu de verwerkersovereenkomst. Kan je daar iets meer over vertellen? Waar moet je rekening mee houden als je zo'n overeenkomst wilt opstellen?

Lars de Bie: Een verwerkersovereenkomst is het contract dat je moet sluiten als je een partij inschakelt die voor jou persoonsgegevens gaat verwerken. Artikel 28 in de AVG regelt waar je aan moet voldoen. Zo zou je onder meer duidelijk moeten hebben wat de verwerker precies wel en niet gaat doen met de persoonsgegevens. Dat zijn de instructies die ik net noemde. Ook moet je vastleggen dat de verwerker je helpt met het vervullen van de rechten van betrokkenen en dat de persoonsgegevens worden verwijderd of teruggegeven zodra het contract wordt beëindigd. De AP constateert regelmatig dat de verwerkingsverantwoordelijke te krijgt met een datalek dat is ontstaan bij de verwerker.

Lars de Bie: Soms gaat het om een enkele verwerker die data verwerkt van miljoenen betrokkenen, omdat hij veel verschillende verwerkingsverantwoordelijken bijstaat. Goede afspraken met de verwerker kunnen helpen om dit risico te beperken. Er zijn een aantal dingen die je daarvoor kunt doen. Allereerst is het advies om afspraken zo concreet mogelijk te maken. In plaats van alleen de vereisten uit de AVG te herhalen, is het aan te bevelen dat je deze concreet vertaalt naar de praktijk. Wat betekent dit voor de relatie tussen jou en de verwerker? Wie zijn de contactpersonen die je kan bereiken als er wat gebeurt? Welke informatie moeten de verwerker verstrekken als zij een datalek heeft geconstateerd?

Lars de Bie: Die dingen kunnen helpen om op het goede moment de juiste informatie te krijgen als zo'n groot datalek speelt. Ook is het aan te raden te zorgen dat de verwerker een goed zicht heeft en blijft houden op alle subverwerkers en verwerkers die er zijn. Een verwerker mag een derde partij inschakelen als dat in het contract is geregeld. De partij blijft daar zelf verantwoordelijk voor. Om te voorkomen dat je achteraf voor verrassingen komt te staan, kan het handig zijn om afspraken te maken met de verwerker over wanneer die wel en niet een subverwerker mag inschakelen. Zorg dat je als verwerkingsverantwoordelijke ruim op tijd de mogelijkheid krijgt om eventueel bezwaar te maken tegen het aanstellen van een nieuwe subverwerker.

Lars de Bie: Een verwerkersovereenkomst wordt vaak gezien als een formaliteit, terwijl het een goed hulpmiddel kan zijn om te helpen bij de naleving van de AVG. Vanuit de AP adviseren we om onderhandelingen aan te gaan. Niet alleen over de inhoud van het contract zelf, maar ook over de verwerkersovereenkomst die daar eventueel bij komt kijken. Ga het gesprek aan als je je niet kunt vinden in de inhoud. Veel brancheorganisaties en belangenverenigingen bieden standaard verwerkersovereenkomsten aan. Deze besparen veel tijd en geld in vergelijking met wanneer je ze zou willen opstellen vanuit nul. Deze modellen bevatten meestal belangrijke elementen die je kunt gebruiken om je eigen verwerkersovereenkomst op te stellen. In plaats van dat je vanaf nul moet beginnen, kun je deze meenemen in je eigen verwerking en aanpassen aan jouw individuele organisatie en de verwerker. De afspraken die je maakt, moeten afgestemd zijn op de inhoud en context van de verwerker.

Walter van Wijk: Nu hebben we deze dingen gehoord uit de mond van de Senior Inspecteur bij de toezichthouder op privacy. Daarbij gaat het niet per se over de letter van de wet in de AVG, maar vooral wat die wet betekent voor jou als organisatie of vertegenwoordiger van een organisatie. We ronden deze fundamentele inzichten over verwerkingsverantwoordelijkheid en verwerkerschap af. Wat komen er bij jou voor praktische handvatten naar boven? Je hebt allerlei dingen genoemd waar mensen te rade kunnen gaan voor meer informatie. Welke praktische tips komen bij jou naar boven als mensen zich willen kwalificeren als verwerker of verwerkingsverantwoordelijke?

Lars de Bie: Het makkelijkste is als je de enige partij bent die betrokken is bij de verwerking. Je bent dan simpelweg de verwerkingsverantwoordelijke. Als er twee of meer zijn, moet je kijken naar alle omstandigheden van het geval. Allereerst is het niet voldoende om alleen op papier te bekijken wie wat is. Als jij op papier zegt dat je verwerker of verwerkingsverantwoordelijke bent, is dat niet per se doorslaggevend voor de kwalificatie wie dat daadwerkelijk is. Het kan zijn dat dat in een wet geregeld is. Die is daarin doorslaggevend. Verder is het goed om versimpeld te kijken naar wie de keuzes maakt bij een verwerking. Bepaal jij hoe de verwerking wordt vormgegeven? Dan ben jij waarschijnlijk de verwerkingsverantwoordelijke.

Lars de Bie: Doe je slechts met de persoonsgegevens wat je wordt opgedragen? Dan ben je waarschijnlijk de verwerker. Heel concreet kun je kijken naar de vraag welke gegevens er worden verwerkt. Hoelang verwerken we die gegevens? Wie mag die gegevens inzien en over wie verwerken we gegevens? Wie zijn de betrokkenen? Als jij al die vragen zelf beantwoordt en een andere partij die betrokken is bij de verwerking er alleen naar luistert, zal jij zelf de verwerkingsverantwoordelijke zijn. Die andere partij is de verwerker. Andere vragen, zoals welke computers er gebruikt worden, kunnen minder van belang zijn. Die zijn niet op zichzelf doorslaggevend. Op de website van de AP staat een document waarin een aantal voorbeelden worden genoemd.

Lars de Bie: Zo wordt daarin genoemd dat een internet serviceprovider die in opdracht van de organisatie persoonsgegevens gaat verwerken, zelfstandig als verwerker gekwalificeerd. De organisatie die daar opdracht toe geeft, zal de verwerkingsverantwoordelijke zijn.

Walter van Wijk: Er zijn vast nog meer voorbeelden te vinden op de site van de Autoriteit Persoonsgegevens. Het is een belangrijk en ingewikkeld onderwerp, waar discussies of gesprekken over gevoerd worden. Ik wil jou bedanken, Lars, voor het delen van jouw inzichten vanuit jezelf, je eigen professie, je positie en de Autoriteit Persoonsgegevens. Beluister ook de andere afleveringen in deze serie, waarin we onder meer aandacht besteden aan wat de definitie van een persoonsgegeven is. Wat een DPIA is, hoe het zit met inzagerechten en rectificatie, hoe je om moet gaan met datalekken, en meer. Deze serie is geproduceerd door CIP, Centrum Informatiebeveiliging en Privacybescherming, en wordt mede mogelijk gemaakt door CIO Rijk.

Walter van Wijk: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.