Verantwoordelijke vs. verwerker

De AVG maakt een onderscheid tussen de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’.

 

De ‘verantwoordelijke’ is degene die het doel van de verwerking van persoonsgegevens vaststelt en de middelen waarmee die verwerking wordt uitgevoerd. Een ‘verwerker’ verwerkt slechts ten behoeve van de ‘verantwoordelijke’. Een werkgever is bijvoorbeeld de ‘verantwoordelijke’ waar het de verwerking van persoonsgegevens van diens personeel aangaat.

 

Bijvoorbeeld: salarisadministratiekantoren

Het komt veel voor dat werkgevers hun salarisadministratie door een externe, zelfstandige partij laten uitvoeren. Dat administratiekantoor wordt dan aangemerkt als ‘verwerker’. Een eigen, interne salarisadministratie van een werkgever is geen ‘verwerker’ in de zin van de wet. De organisatie van de werkgever als geheel wordt namelijk als ‘verantwoordelijke’ beschouwd. Het is voor dienstverleners die opdrachten voor derden uitvoeren dus van belang na te gaan of zij ‘verwerker’ of ‘verantwoordelijke’ zijn. Dit is niet altijd even gemakkelijk. Een extern administratiekantoor dat alleen de salarisrol uitvoert, is doorgaans een ‘verwerker’. Maar wat als het administratiekantoor ook aanpalende adviesdiensten verleent, bijvoorbeeld op juridisch of HR-gebied? Dan zou zomaar sprake kunnen zijn van een situatie waarbij het administratiekantoor vaststelt welke persoonsgegevens zij daarvoor nodig heeft en met welk doel. In zoverre is het administratiekantoor dan daarom (ook) ‘verantwoordelijke’.

 

Verschil in verantwoordelijkheid

Het verschil tussen ‘verantwoordelijke’ en ‘verwerker’ is belangrijk. Een ‘verantwoordelijke’ is namelijk bij iedere verwerking verantwoordelijk voor naleving van de volledige AVG. Dat geldt niet voor de ‘verwerker’. De ‘verwerker’ handelt immers in opdracht van de ‘verantwoordelijke’ en hoeft daarom bijvoorbeeld niet te bewaken dat aan de beginselen van transparantie en doelbinding is voldaan. Dat is immers de taak van de ‘verantwoordelijke’. Wel zal ook de ‘verwerker’, net zoals de ‘verantwoordelijke’, onder meer passende technische en organisatorische beveiligingsmaatregelen moeten treffen. Denk bijvoorbeeld aan versleuteling van persoonsgegevens, beleid op het gebied van wachtwoorden en autorisaties en het periodiek testen en evalueren van genomen  beveiligingsmaatregelen.

 

Aandachtspunt

‘Verantwoordelijken’ zoals werkgevers mogen straks alleen nog samenwerken met ‘verwerkers’ die kunnen aantonen hun beveiliging en organisatie op orde te hebben conform de AVG. Dit is dus een aandachtspunt voor zowel verantwoordelijken als voor bedrijven die vanwege hun core business normaliter verwerker zijn in de zin van de AVG. De verantwoordingsplicht brengt met zich mee dat verantwoordelijken kunnen aantonen dat ze dit hebben gecontroleerd. Voor aanstaande verwerkers kan het daarom lonend zijn om hun track-record tastbaar te maken in de vorm van een presentatie met (onder andere) referenties. 

 

 

 

Onze privacyrechtadvocaten