Hoe zit het ook alweer: verwerker of verantwoordelijke?

Of een organisatie als verwerker of verwerkingsverantwoordelijke wordt aangemerkt, is vaak niet duidelijk voor de organisaties zelf. Ik krijg meer dan eens de vraag wie de verwerker is en wie verantwoordelijk. In sommige situaties is het snel duidelijk, maar soms is het ook een wat grijs gebied. Desondanks is het juiste labeltje op het juiste poppetje wél erg relevant, want voor de ene partij gelden andere regels dan voor de andere. Laten we eens kijken hoe het ook alweer zat.

Verwerkingsverantwoordelijke

Een organisatie wordt als verwerkingsverantwoordelijke aangemerkt, als die organisatie alleen, of samen met anderen, bepaalt:

• welke persoonsgegevens worden verzameld; én
• voor welk doel de persoonsgegevens worden verzameld (waarom hebben jullie die gegevens nodig?); én
• de wijze waarop de persoonsgegevens worden verzameld, met andere woorden: met welke middelen worden deze verzameld (bijvoorbeeld: website, formulieren, e-mail, etc.).

Een organisatie is altijd een verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens die van medewerkers worden verwerkt. Daarnaast is een organisatie verwerkingsverantwoordelijke voor de klantgegevens en gegevens van bezoekers van de website die worden verzameld, voor zover dit natuurlijke personen (dus geen BV, of andere rechtspersonen) betreft.

Verwerker

Het gebeurt meer dan eens dat een verwerkingsverantwoordelijke een derde partij inschakelt voor het verwerken van persoonsgegevens. Denk bijvoorbeeld aan een kantoor dat de salarisadministratie van het personeel verwerkt, en een softwareleverancier die de database met klantgegevens host. Of een partij die een derde partij inschakelt om voor haar tevredenheidsenquêtes uit te voeren onder haar klanten.

De verwerker bepaalt niet zelf welke persoonsgegevens worden verzameld, voor welk doel en met welke middelen. Dat is de verwerkingsverantwoordelijke. Alles gebeurt dus “in opdracht van” de verwerkingsverantwoordelijke.

Maar let op: niet iedere derde partij die persoonsgegevens van een verwerkingsverantwoordelijke “onder ogen” krijgt, is een verwerker. Van belang is dat de verwerking van persoonsgegevens de primaire opdracht moet zijn. De dienstverlening moet dus uitwijzen of de organisatie verwerker is.

Niet iedere derde partij die persoonsgegevens van een verwerkingsverantwoordelijke “onder ogen” krijgt, is een verwerker. Van belang is dat de verwerking van persoonsgegevens de primaire opdracht moet zijn. De dienstverlening moet dus uitwijzen of de organisatie verwerker is.

Bij een salarisadministratie of een hostingpartij is duidelijk dat de primaire dienstverlening gericht is op het verwerken van persoonsgegegevens. Maar als een IT bedrijf software bouwt en daarbij de mogelijkheid heeft tot toegang tot bepaalde persoonsgegevens, zal deze IT partij géén verwerker zijn. Immers, de opdracht is het bouwen van software, niet het verwerken van de persoonsgegevens. In dat geval is de IT partij zelf verantwoordelijke voor het eventueel verwerken van de gegevens van natuurlijke personen. Daarnaast is het van belang dat een geheimhoudingsovereenkomst met de IT partij wordt gesloten.

Dus: onthoud en knoop in je oren:

• de verantwoordelijke bepaalt het doel, de middelen en de soort persoonsgegevens
• de verwerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke én dit verwerken is de primaire opdracht die aan de verwerker is gegeven.

Kom je er niet uit, neem dan gerust met mij contact op.