Eén van de lastigste dingen onder de AVG is wel het
vaststellen van de rollen bij het verwerken van persoonsgegevens. De privacywetgeving
maakt namelijk een onderscheid tussen de verwerkingsverantwoordelijke
en de verwerker.
Hoewel het onderscheid vaak genoeg op eerste gezicht
duidelijk is, zorgen de ontwikkeling en het gebruik van nieuwe ICT-producten en
diensten voor nieuwe rollen en verantwoordelijkheden, waarbij het niet altijd
duidelijk is wie de verantwoordelijke is, en wie eventueel een verwerker. Het
vaststellen van je rol onder de AVG is echter wel van belang, nu veel van de
verplichtingen enkel rusten op de verwerkingsverantwoordelijk.
Definities
Op grond van de AVG is de verwerkingsverantwoordelijke “een natuurlijke persoon of
rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat,
alleen of samen met anderen, het doel van en de middelen voor de
verwerking van persoonsgegevens vaststelt”. Een verwerker daarentegen is degene die ten behoeve van de verwerkingsverantwoordelijke
persoonsgegevens verwerkt.
De verwerkingsverantwoordelijke is dus in eerste instantie
de partij die besluit om persoonsgegevens voor eigen doeleinden te verwerken.
Om te bepalen of een partij als verwerkingsverantwoordelijke kan worden
aangemerkt, moet in eerste instantie een antwoord worden gevonden op de vragen
“Waarom vindt deze verwerking plaats?” en “Wie heeft deze geïnitieerd?”.
Bij het beoordelen wie de verwerkingsverantwoordelijke is
kan bijvoorbeeld plaatsvinden op basis van een uitdrukkelijke juridische bevoegdheid. Deze situatie doet zich voor
wanneer een bepaalde bevoegdheid, taak of plicht die het verwerken van
persoonsgegevens behelst expliciet is opgedragen aan de
verwerkingsverantwoordelijke. Bijvoorbeeld de verwerking van persoonsgegevens
door de Belastingdienst.
De verantwoordelijke kan daarnaast voortvloeien uit een impliciete bevoegdheid. Deze situatie
doet zich voor wanneer er niet een expliciete bevoegdheid bestaat tot het
verwerken van persoonsgegevens, maar op grond van de gangbare juridische regels
en de maatstaven die gelden in het maatschappelijk verkeer de
verwerkingsverantwoordelijkheid toekomt aan een specifieke natuurlijke of
rechtspersoon. Denk hierbij bijvoorbeeld aan een werkgever die de gegevens van
zijn medewerkers verwerkt of een vereniging die de gegevens van haar leden
verwerkt.
De verantwoordelijkheid voor de verwerking kan tot slot
worden bepaald aan de hand van de feitelijke
invloed. In veel gevallen wordt hiervoor een beoordeling gemaakt van de contractuele
verhoudingen tussen de verschillende betrokken partijen. Daarbij kan worden
gekeken naar de verdeling verantwoordelijkheden in het contract. De bepalingen
van een contract zijn echter niet doorslaggevend, omdat contractpartijen dan de
verantwoordelijkheid naar eigen goeddunken zouden kunnen beleggen. Naast de
bepalingen van een contract zijn ook andere feiten van belang om vast te
stellen wie voor de verwerking verantwoordelijk is, bijvoorbeeld de mate van feitelijke
zeggenschap van een partij, het beeld dat aan betrokkenen wordt geschetst en
redelijke verwachtingen van betrokkenen op basis van deze zichtbaarheid. Andere
praktische indicaties van verantwoordelijkheid van een partij zijn:
- ·
het bepalen welke gegevens worden verwerkt; - ·
het bepalen van de bewaartermijnen; - ·
zeggenschap over de toegang tot de gegevens; - ·
zeggenschap over de informatie die wordt
verstrekt aan de betrokkene; - ·
zeggenschap over het verstrekken van gegevens
aan derden en/of naar partijen in landen buiten de EU.
De verwerkingsverantwoordelijke is dus degene die beslist
of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op
welke wijze, terwijl de verwerker degene is die ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens verwerkt. De dienstverlening van
de verwerker moet gericht zijn op het uitvoeren van een bepaalde verwerking van
persoonsgegevens ten behoeve van de opdrachtgever. Zodra de gegevensverwerking
een uitvloeisel is van een andere vorm van dienstverlening, is de
dienstverlener daarvoor zelf verantwoordelijk.
Wanneer een opdrachtnemer invloed heeft op het doel en
gegevens (ook) voor eigen doeleinden kan verwerken, bijvoorbeeld door de
ontvangen persoonsgegevens te gebruiken voor productverbetering, dan zou hij
verantwoordelijk voor een andere verwerking zijn en zouden alle verplichtingen
van de AVG voor hem gelden.
Voorbeelden
uit de praktijk
Uiteraard heeft de Autoriteit Persoonsgegevens (“AP”) meerdere
malen de privacyrechtelijke rol van partijen moeten beoordelen.
Snappet
In 2014 heeft de AP een onderzoek gepubliceerd naar de
verwerking van persoonsgegevens door Snappet.
Snappet verhuurt tablets aan basisscholen, met ingebouwde onderwijssoftware
(apps). De tablets zijn gericht op kinderen in groep 4 tot en met 6, in de
leeftijd van 7 tot 9 jaar. Op de Snappet-tablets kunnen kinderen lees- en
oefenstof doen voor vakken als taal, spelling, rekenen en lezen.
Volgens Snappet is zij een verwerker en zijn de scholen de
verantwoordelijken, maar de AP denkt daar anders over. Op grond van de
feitelijke omstandigheden heeft de AP vastgesteld dat Snappet zoveel
zeggenschap heeft over deze doeleinden van de gegevensverwerking dat zij niet
als verwerker kan worden aangemerkt. Door het ontbreken van een specifieke
schriftelijke opdracht (van het merendeel van de scholen), dient als
uitgangspunt te gelden dat Snappet de verantwoordelijke is voor de gegevensverwerkingen.
Daar komt bij dat Snappet ook een eigen zakelijk belang heeft bij deze
gegevensverwerking, te weten om aanvullende of alternatieve modules aan te
kunnen bevelen.
Bluetrace
Een jaar later, in 2015, heeft de AP een onderzoek
gepubliceerd naar Bluetrace,
een bedrijf dat technologie voor wifi-tracking levert en installeert in en
rondom winkels in Nederland. Ook in deze zaak oordeelt de AP dat Bluetrace zich
ten onrechte heeft aangemerkt als verwerker:
Bij
Bluetrace is sprake van een relatie tussen opdrachtgever en opdrachtnemer. De
klanten van Bluetrace huren het bedrijf in om voor hen een wifi-trackingsysteem
op te zetten en daaraan gerelateerde diensten te leveren. De dienstverlening
van Bluetrace bestaat daarmee niet primair uit het verwerken van gegevens. De
verwerking van gegevens is een uitvloeisel van de dienst waarvoor het bedrijf
ingehuurd wordt door klanten, namelijk het installeren van
wifi-trackingsystemen in en rond winkels, het genereren van meetgegevens en het
analyseren, beheren en opslaan daarvan. […] Volgens de memorie van toelichting
op de Wbp is de omstandigheid dat de gegevensverwerking meer een uitvloeisel van de dienstverlening is
dan een primaire activiteit, een indicatie dat er geen sprake is van
bewerkerschap in de zin van de Wbp.
Bluetrace
bepaalt wezenlijke aspecten van de gegevensverwerking bij wifi-tracking. Het
feit dat er in deze zaak sprake is van een opdrachtgever-opdrachtnemerrelatie
lijkt erop te wijzen dat de verantwoordelijkheid voor dataverwerking ligt bij
de opdrachtgevende partij die het initiatief neemt. Maar omdat Bluetrace zelf
bepaalt welke soort gegevens het
bedrijf verwerkt, hoe lang en met
welke technische middelen, ligt de verantwoordelijkheid
primair bij Bluetrace. Bluetrace heeft bovendien het feitelijk beheer over alle opgeslagen gegevens uit de
trackingactiviteiten en de zeggenschap over eventueel te hanteren bewaartermijnen. Bluetrace verwerkt
meetgegevens met als doel het leveren van bedrijfseconomische
data aan de klant. Dit is een eigen doel, bepaald door Bluetrace, waarmee
het bedrijf een dienst met toegevoegde waarde levert aan zijn klanten. Zonder
de data-analyse zou Bluetrace slechts ruwe meetgegevens kunnen overleggen aan
de klant en is er nauwelijks sprake van bedrijfseconomische informatie. Hieraan
doet niet af dat het bedrijf daarmee opdrachtgevers van dienst wil zijn. De
opdrachtgever bepaalt vervolgens op welke manier de door Bluetrace geleverde
bedrijfseconomische informatie wordt toegepast in het bedrijf. Tot slot is van
belang dat Bluetrace zelfstandig besluiten heeft genomen over het wel of niet
verstrekken van gegevens aan derden en/of opsporingsdiensten.
Uber
Eind 2018 heeft de AP Uber
B.V. (NL) en Uber Technologies Inc (VS) een boete van 600.000 euro op voor het
overtreden van de meldplicht datalekken. In een verwerkersovereenkomst waren
Uber NL en Uber VS overeengekomen dat Uber NL verantwoordelijke is voor de
verwerking van persoonsgegevens die zij verzamelt en verwerkt van betrokkenen
buiten de VS en dat Uber VS ten behoeve van Uber NL als verwerker optreedt.
Ingeval van concernverhoudingen
wordt de rechtspersoon onder wiens bevoegdheid de operationele
gegevensverwerking plaatsvindt als de verantwoordelijke gezien. In dit geval stelt
de AP vast dat het privacybeleid en het informatiebeveiligingsbeleid (mede) is
opgesteld door Uber VS. Daarnaast worden back-ups gemaakt die worden opgeslagen
in de Verenigde staten en is Uber VS die met Amazon een overeenkomst is
aangegaan voor de opslag van back-ups. Tot slot geldt dat de Uber app door Uber
VS is ontwikkeld en wordt de app ook door Uber VS aangeboden. De AP oordeelt
daarom dat Uber NL en Uber VS als gezamenlijk verantwoordelijken zijn aan te
merken. De verwerkersovereenkomst is dus niet doorslaggevend.
Slot
De betekenis van de begrippen verwerkingsverantwoordelijke
en verwerker is met de komst van de AVG ongewijzigd gebleven. Jammer, want de
AVG was bij uitstek de mogelijkheid geweest om meer duidelijkheid te
verschaffen op dit punt. Al met al is het op basis van het bovenstaande wel van
belang dat de puzzel wordt gelegd, zodat partijen hun wettelijke plichten
kunnen identificeren.
https://www.solv.nl/weblog/verwerkingsverantwoordelijke-of-verwerker-wat-is-je-rol-onder-de-avg/21735
