Verwerkingsverantwoordelijke of verwerker?
Zoek de verschillen
Wie weleens met de AVG te maken heeft gehad, zal ongetwijfeld gehoord hebben van de begrippen “verwerkingsverantwoordelijke” en “verwerker”. Maar wat houden deze begrippen nu daadwerkelijk in? En wat is het onderscheid?
De verwerkingsverantwoordelijke is een natuurlijke of rechtspersoon (of overheidsinstantie, een dienst of een ander orgaan) die samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
De verwerker is dan juist de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Voorbeeld
Dit is het makkelijkste uit te leggen met een voorbeeldje: bedrijf X beslist dat een nieuwsbrief moet worden verspreid onder hun klanten. Hiervoor geeft zij een lijst met e-mailadressen aan bedrijf Y dat de nieuwsbrieven vervolgens daadwerkelijk gaat versturen. Bedrijf X bepaalt in dit geval welke persoonsgegevens er worden verwerkt en het doel van de verwerking; namelijk e-mailadressen om een nieuwsbrief te verzenden. Bedrijf X moet er dan ook zorg voor dragen dat de gegevens op basis van de juiste grondslag zijn verzameld en worden verwerkt, bijvoorbeeld dat de klanten hier toestemming voor hebben gegeven. Bedrijf X is dus de verwerkingsverantwoordelijke en bedrijf Y de verwerker.
Het is wel belangrijk om te vermelden dat bedrijf Y de persoonsgegevens enkel verwerkt op basis van de instructie van bedrijf X. Wanneer bedrijf Y de persoonsgegevens daarnaast voor andere, door zichzelf vastgestelde, doeleinden gaat verwerken, dan wordt bedrijf Y ook verwerkingsverantwoordelijke. Dit is bijvoorbeeld het geval als bedrijf Y de mailadressen weer doorverkoopt aan een andere partij (even los van de vraag of dit is toegestaan!).
En nu?
De verwerkingsverantwoordelijke en de verwerker moeten de verwerking van persoonsgegevens regelen in een overeenkomst: de verwerkersovereenkomst. De verwerker moet passende technische en organisatorische maatregelen nemen om de gegevens te beschermen, maar de verwerkingsverantwoordelijke moet wel checken of de genomen maatregelen inderdaad voldoende zijn. Dat laatste gebeurt in de praktijk zelden en veel verwerkingsverantwoordelijken zijn niet van deze verplichting op de hoogte!
Is dan de oplossing om overal maar verwerkersovereenkomsten voor te tekenen? Gewoon voor de zekerheid? Nee, absoluut niet! Er zijn vele redenen om hier erg kritisch naar te kijken. Teken dus niet zomaar iedere verwerkersovereenkomst en laat ze ook niet te pas en te onpas tekenen door leveranciers.
Houdt u zich bezig met het verwerken van persoonsgegevens en bent u benieuwd welke rol u vervult? Of vraagt u zich af of u een verwerkersovereenkomst moet opstellen of tekenen? En hoe de technische en organisatorische maatregelen van de verwerker gecontroleerd kunnen worden? Neem gerust contact met ons op!
