Geen verantwoordelijke, verwerker of ontvanger: de rol die mist in de AVG?
Geen verantwoordelijke, verwerker of ontvanger: de rol die mist in de AVG? Rolverdeling dekt niet alle situaties af.
In de Algemene verordening gegevensbescherming zijn een aantal rollen gedefinieerd voor organisaties die persoonsgegevens verwerken. In de praktijk komen we erachter dat die rolverdeling niet alle situaties afdekt. In dit artikel ga ik in op een aantal praktijksituaties.
De rollen voor organisaties die persoonsgegevens verwerken, zijn duidelijke afgebakend in de Algemene verordening gegevensbescherming (AVG):
- De Verwerkingsverantwoordelijke is de organisatie die iets met de gegevens van de betrokkene wil: daar een doel mee heeft en kiest op welke manier de gegevens worden verwerkt
- De verwerker is de organisatie die de persoonsgegevens voor en in opdracht van de verwerkingsverantwoordelijke verwerkt, vaak omdat de verwerker dat beter kan dan de verwerkingsverantwoordelijke zelf.
- Vaak zal een verwerker delen van de gegevensverwerking op haar beurt weer uitbesteden. Dan spreken we van een subverwerker.
- De ontvanger is een organisatie die persoonsgegevens ontvangt van een verwerkingsverantwoordelijke en voor het ontvangen en verder verwerken daarvan eigen doelstellingen heeft.
De praktijk is vaak weerbarstig
In de praktijk zien we nogal eens dat (medewerkers van) leveranciers zijdelings toegang hebben tot gegevens, zonder dat de opdracht aan een leverancier specifiek is gericht op het verwerken van persoonsgegevens. Zonder die specifieke opdracht is er volgens de AVG en volgens de uitleg op de website van de Autoriteit Persoonsgegevens (AP) geen sprake van een verwerker (1). Maar wat dan wel?
Wat zeggen de toezichthouders over deze situaties?
In de paper van de Artikel 29-werkgroep (de voorloper van de EDPB) over de verantwoordelijke en de verwerker wordt weliswaar een 'derde' gedefinieerd, maar deze wordt vervolgens als verantwoordelijke aangemerkt (2).
De AP geeft op haar website een aantal voorbeeldsituaties (3). Daaruit wordt duidelijk dat een leverancier alleen verwerker is wanneer deze primair de opdracht krijgt om gegevens te verwerken. De advocaat uit een van de voorbeelden is dus geen verwerker. Ook geeft de AP aan dat iemand die rechtstreeks onder het gezag valt van een verantwoordelijke, geen verwerker is. De AP geeft als voorbeeld een zzp'er die een medewerker vervangt die op zwangerschapsverlof gaat. Dit voorbeeld laat zien dat het “onder het gezag” vallen van een verwerkingsverantwoordelijke kennelijk hetzelfde is als het begrip “leiding en toezicht” of de gezagsverhouding uit het arbeidsrecht. Een zzp’er is immers alleen zelfstandige wanneer deze niet onder leiding en toezicht van de opdrachtgever staat. Bij vervanging van een interne medewerkers is dat waarschijnlijk wel het geval.
Praktische oplossingen binnen het kader van de AVG
In de praktijk zijn sommige situaties lastig te duiden. Dan komt het erop aan een praktische oplossing te vinden binnen de kaders van de AVG. Dat lukt wanneer we de verhouding tussen opdrachtgever en opdrachtnemer goed en helder vormgeven, opschrijven én wanneer de partijen daarnaar handelen. Zo voorkomen we discussies tussen partijen en met de toezichthouders achteraf. Hier volgen een paar voorbeelden uit de praktijk
Praktijksituatie 1: Onderhoud en schoonmaak
Een onderhoudsmonteur voor de luchtbehandeling of een schoonmaker is werkzaam in het gebouw van de opdrachtgever en ziet op een bureau persoonsgegevens liggen.
Duiding: Het is niet de bedoeling dat deze mensen toegang hebben tot de gegevens. Hier lijken de beveiligingsmaatregelen niet goed te werken. Met andere woorden: er is sprake van een datalek. Dat staat verder los van de gezagsverhoudingen tussen de opdrachtgevers en de medewerkers van de leverancier. door Julius Duijts, senior adviseur Informatie & Gegevensmanagement
Lees het gehele artikel op bmc.nl >
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.