Verwerker of geen verwerker, dat is de vraag
In een eerdere column beloofde ik al om in te gaan op het begrip verwerker. Dit leek mij een mooi moment, omdat de voorzieningenrechter in Noord-Nederland zich onlangs als verwerker heeft aangemerkt en de zaak met 21 belanghebbenden om die reden heeft gesplitst .
In een eerdere column beloofde ik al om in te gaan op het begrip verwerker. Dit leek mij een mooi moment, omdat de voorzieningenrechter in Noord-Nederland zich onlangs als verwerker heeft aangemerkt en de zaak met 21 belanghebbenden om die reden heeft gesplitst .
Een zeer opmerkelijke overweging van de rechter. De rechtspraak is namelijk zelfstandig verantwoordelijk. Het zou wat zijn als alle procespartijen met de rechters verwerkersovereenkomsten zouden moeten afsluiten (met als verwerkingsdoel: de zaak te laten winnen). In de Wet op de Rechterlijke Organisatie is bepaald dat rechterlijke ambtenaren met rechtspraak zijn belast en dat zij zijn verplicht tot geheimhouding van gegevens. Dat lijkt mij een duidelijk omschreven wettelijke taak. De rechtspraak bepaalt vervolgens zelf het doel en de middelen.
In de privacyverklaring op rechtspraak.nl staat dan ook beschreven: ‘Rechters kunnen zonder persoonsgegevens uw rechtszaak niet goed en zorgvuldig behandelen. Procespartijen (…) moeten daarom persoonsgegevens verstrekken zodat rechters in staat zijn een afgewogen oordeel te kunnen geven’. De voorzieningenrechter slaat in zijn overweging behoorlijk de plank behoorlijk mis. Overigens wel tekenend, want veel organisaties worstelen met deze afweging.
Het is en blijft lastig om te bepalen of de partij met wie je zaken doet nu verwerker is of zelfstandig verantwoordelijke. Vaak wordt met een offerte of een overeenkomst meteen de verwerkersovereenkomst opgestuurd, zonder eerst goed na te gaan of wel sprake is van een verwerkersrelatie. Deze wordt dan in sommige gevallen klakkeloos getekend. Voor de zekerheid, zeggen sommige mensen dan. Helaas werkt het niet zo. Als deze verwerkersovereenkomst in strijd is met de wet of met de juridische situatie, dan treft de overeenkomst geen doel en overtreed je alsnog de Algemene Verordening Gegevensbescherming. Dit blijkt ook uit het onlangs door de Autoriteit Persoonsgegevens (AP) aan Über opgelegde boetebesluit wegens te laat melden van een datalek. Om meerdere redenen een interessant besluit om te lezen, omdat het een mooie inkijk geeft in de redeneringen van de AP.
Voor deze column beperk ik mij tot de constatering dat ook in deze zaak de AP haar eigen oordeel vormt over de verhouding verwerker – verantwoordelijke. De AP stelde vast dat er sprake was van gezamenlijke verantwoordelijkheid tussen Über in Nederland en de moedermaatschappij in de VS, terwijl de bedrijven zelf onderling een verwerkersovereenkomst hadden afgesloten. Die had dus geen waarde. In mijn adviespraktijk is vaker niet dan wel sprake van een verwerkersrelatie. Kijk dus goed naar de samenwerking of de overeenkomst. Schakel je een dienstverlener in om gegevens te verwerken die je anders zelf zou hebben verwerkt, zoals de salarisadministratie? Dan is vaak sprake van een verwerkersrelatie. Gaat het om een dienstverlener die gegevens van jou nodig heeft om de eigen dienst of product aan te bieden, zoals een opleidingsinstantie? Dan is vaak geen sprake van een verwerkersrelatie. Toch blijft het soms een lastige afweging per geval. En ter geruststelling (of niet): zelfs de rechtspraak heeft er moeite mee.
(ECLI:NL:RBNNE:2018:5385)
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.