• Fizr

Ben ik een verwerkingsverantwoordelijke of een verwerker?



Met de invoering van de AVG werden ook de termen verwerker en verwerkings-verantwoordelijke geïntroduceerd. Deze begrippen zorgen voor verwarring en veel organisaties gaan hiermee het schip in. Zij meten zichzelf de verkeerde rol aan, waardoor zij de plank misslaan met betrekking tot de verantwoordelijkheid voor de gegevens.


In dit artikel leggen we de begrippen verwerker en verwerkingsverantwoordelijke uit en bespreken we de relatie tussen deze twee. Als laatste belichten we wat de gevolgen kunnen zijn als u de verkeerde rol aanneemt.


Wat is een verwerkingsverantwoordelijke?

Volgens de Europese Commissie bepaalt de verwerkingsverantwoordelijke 'de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt.' Als zorginstelling bent u in veel gevallen verantwoordelijk voor de verwerking van de gegevens van uw cliënten. U bepaalt immers welke gegevens u nodig heeft om uw cliënten de beste zorg te verlenen. Uw organisatie beslist ook waar en hoe u deze gegevens opslaat en verwerkt.


Deze rol gaat gepaard met grote verantwoordelijkheden. U moet aantonen dat u in control bent. Dit houdt niet op bij de muren van uw organisatie. U moet ook verwerkers kiezen die voldoen aan de eisen die passen bij de AVG. Tot slot kan het zijn dat u niet de enige bent die verantwoordelijk is.


Gedeelde verwerkingsverantwoordelijkheid?

In sommige gevallen deelt u de verantwoordelijkheid voor de gegevensverwerking met een andere partij. Dit komt voor als meerdere organisaties bepalen hoe en waarom bepaalde gegevens worden ingezet. Een voorbeeld hiervan is een VVT-instelling die samen met een vervoerder dagbesteding inclusief vervoer aanbiedt via één website. In de meeste gevallen is een andere organisatie die rechtstreeks in contact staat met uw cliënten ook verwerkingsverantwoordelijk.


Als u een gedeelde verwerkingsverantwoordelijkheid hebt, dan moet u afspraken maken met de andere partij. Hierin legt u vast wie verantwoordelijk is voor de verschillende aspecten van de naleving van de AVG.


Een gedeelde verwerkingsverantwoordelijkheid maakt de gegevensverwerking rondom een bedrijfsproces al snel vrij complex, zeker als er ook nog verwerkers betrokken zijn.


Wat is een verwerker?

De verwerker is een partij die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. U kunt hierbij denken aan een cloud hosting provider of een partij die uw salarisadministratie verzorgt. Zij slaan dan weliswaar gegevens op en verwerken deze, maar zij doen dit namens u.


Een softwareleverancier is niet per definitie een verwerker. Als de software lokaal draait en uw organisatie doet het (technisch) beheer, dan ligt de volledige verantwoordelijkheid voor de verwerkingen bij u.


In andere gevallen blijkt dat een partij die op het oog de verwerker lijkt, in de praktijk de verwerkingsverantwoordelijke is. Een consultancybedrijf dat zonder duidelijke instructie een advies of controleopdracht doet voor een instelling is soms de verwerkingsverantwoordelijke. Hetzelfde geldt voor een verwerker die zelf ook analyses uitvoert met de gegevens die door de verwerkingsverantwoordelijke ter beschikking worden gesteld. De mate van zeggenschap is hiervoor bepalend.


De relatie tussen verwerkingsverantwoordelijke en verwerker

De relatie tussen de verwerkingsverantwoordelijke en de verwerkers is vastgelegd in een verwerkersovereenkomst. Deze overeenkomst regelt de manier waarop de verwerker invulling geeft aan de plichten van de verwerkingsverantwoordelijke. Deze dient immers aan te kunnen tonen in control te zijn. In de praktijk bevatten deze overeenkomsten meestal de volgende vragen.


  • Welke gegevens worden verwerkt? Hierbij is het principe van dataminimalisatie leidend; u mag niet meer gegevens beschikbaar stellen aan de verwerker dan strikt noodzakelijk voor de verwerking.

  • Welke veiligheidsmaatregelen zijn getroffen bij de opslag van persoonsgegevens? Als verwerkingsverantwoordelijke moet u ervoor zorgen dat u een partij kiest die de gegevens adequaat beveiligt.

  • Met welke doeleinden mogen de persoonsgegevens worden verwerkt? De verwerker mag de gegevens niet voor andere doeleinden gebruiken dan noodzakelijk voor de uitvoering van de overeenkomst.

  • Mag de verwerker andere partijen inschakelen voor de verwerking van de gegevens? Welke voorwaarden zijn hier eventueel aan verbonden?

  • Hoelang blijven de gegevens bewaard en wat gebeurt er als de overeenkomst ten einde loopt?

  • Welke protocollen doorlopen de verwerker en u bij datalekken? Wie is verantwoordelijk voor de geleden schade?

  • Hoe en op welke manieren mag u een audit uitvoeren? De verwerkingsverantwoordelijke moet altijd aantonen dat hij in control is. Dit betekent eigenlijk per definitie dat u audits moet houden bij u verwerkers om te beoordelen dat zij uw persoonsgegevens juist verwerken en adequaat beveiligen.

De verkeerde rol

Als u in bedrijfsproces niet de juiste rol aanneemt, kan dit grote gevolgen hebben. In het geval u ten onrechte de verantwoordelijkheid neemt voor een gegevensverwerking, dan leidt dit vooral tot onnodig werk.


Als u uzelf ten onrechte aanmerkt als verwerker zijn de gevolgen groter. Als u de vraag krijgt om aan te tonen of u in control bent, dan is het antwoord op deze vraag 'nee'. U weet alleen wat u zelf doet, maar overziet niet het hele proces. Als er sprake is van een data incident rondom de verwerking van bijzondere persoonsgegevens, kan dit leiden tot boetes.


Bovenstaande geeft een duidelijk inzicht in de vraag welke u rol u speelt in de gegevensverwerking. Toch zijn er grensgevallen, bijvoorbeeld omdat niet geheel duidelijk is wie het gezag over de verwerking heeft. Twijfelt u over uw rol in een samenwerking, neem dan contact met ons op.

106 weergaven0 opmerkingen

Recente blogposts

Alles weergeven