Verantwoordelijke of verwerker binnen samenwerkingsverbanden?
Het bepalen wie de verantwoordelijke en de verwerker is binnen samenwerkingsverbanden soms lastig vast te stellen. Omdat de verplichtingen onder de GDPR/Algemene verordening gegevensbescherming (AVG) voor verantwoordelijken en verwerkers anders zijn, is het belangrijk ieders rol bij de gegevensverwerking helder te hebben. In deze bijdrage een praktische uitleg over deze begrippen.
Twee rollen binnen samenwerkingsverbanden: verantwoordelijken en verwerkers
De AVG legt verplichtingen op aan partijen die persoonsgegevens verwerken. Er zijn daarbij twee rollen te onderscheiden: die van ‘verantwoordelijke’ en die van ‘verwerker’. Het onderscheid is soms moeilijk te maken. Een korte uitleg.
Een 'verantwoordelijke' bepaalt het doel en de middelen van de gegevensverwerking. Dus de 'verantwoordelijke' bepaalt – kort gezegd - welke persoonsgegevens worden verwerkt, het doel van de gegevensverwerking en de manier waarop de verwerking wordt uitgevoerd.
Een ‘verwerker’ verwerkt persoonsgegevens in opdracht van de 'verantwoordelijke' en bepaalt verder dus niets ten aanzien van welke persoonsgegevens worden verwerkt, het doel van de gegevensverwerking of de manier waarop de persoonsgegevens worden verwerkt. Daarbij komt dat de opdracht specifiek betrekking moet hebben op het verwerken van persoonsgegevens. De gegevensverwerking moet dus de kernactiviteit zijn.
Een voorbeeld: als een onderneming de loonadministratie uitbesteedt aan een andere partij die daarin gespecialiseerd is (een loonverwerkingsbureau), dan is de onderneming de 'verantwoordelijke' en het loonverwerkingsbureau de 'verwerker'. Het bureau verwerkt immers de persoonsgegevens in opdracht van de onderneming en de verwerking is tevens de kernactiviteit. En dan moet er tussen de 'verantwoordelijke' en de 'verwerker' een zogenaamde ‘verwerkersovereenkomst’ worden gesloten. In de verwerkersovereenkomst staat dan welke rechten en plichten beide partijen hebben met betrekking tot deze verwerking.
De praktijk bij samenwerkingsverbanden
Tot zover de theorie. In de praktijk is het vaak een hele uitdaging om te bepalen wie welke rol heeft als het gaat om een samenwerkingsverbanden, met name als daar meer dan twee partijen bij betrokken zijn. Omdat de AVG andere verplichtingen oplegt aan verantwoordelijken en verwerkers, is het belangrijk om de rollen en gegevensverwerkingen helder te hebben vóórdat de samenwerking start. Bijstand van een in het privacyrecht/AVG gespecialiseerde advocaat kan daarbij nuttig zijn.