Verwerker en verwerkingsverantwoordelijke: het blijft lastig. Moet er nu een verwerkingsovereenkomst afgesloten worden omdat er sprake is van een verwerker of is er sprake van gezamenlijke verwerkingsverantwoordelijken en is zo’n overeenkomst dus niet nodig?

Exemplarisch daarvoor is de discussie die gevoerd werd over het feit of een accountant en salarisadministrateur als verwerkingsverantwoordelijke of verwerker moet worden gezien. In een artikel op “Accountancy van Morgen” stelde advocate Ellen Timmer dat accountant en salarisadministrateur geen verwerker maar verwerkingsverantwoordelijke zijn. In haar opinie stelt de NBA ten onrechte dat er situaties kunnen voorkomen waarin zij Verwerker zijn. Marcel Kurvers rond de discussie af in een artikel op Novak.nl. Hij stelt daarin: “De slotconclusie is dat mkb-accountantskantoren in de meeste gevallen kunnen worden aangemerkt als ‘verwerkingsverantwoordelijke’, zodat geen verwerkingsovereenkomst nodig is tussen de cliënt en het accountantskantoor. Wordt in incidentele gevallen aan de cliënt alleen een ‘tool’ geleverd, dan is het kantoor aan te merken als ‘verwerker’.”

Kortom, je bent in goed gezelschap als je wel eens aan het tobben bent met de begrippen. Verwerker en Verwerkingsverantwoordelijke: het blijft lastig.

EDPB-Richtsnoeren voor de begrippen verwerker en verwerkingsverantwoordelijke

De European Data Protection Board (EDPB) heeft in haar 37e bijeenkomst. Nieuwe richtsnoeren voor de Verwerker en Verwerkingsverantwoordelijk en de gezamenlijke verwerkingsverantwoordelijken gepubliceerd.

De EDPB kwam met richtsnoeren voor de interpretatie van deze begrippen.

In de richtsnoeren staat dat het concept van verantwoordelijke breed geïnterpreteerd moet worden. Dit houdt onder meer in dat de verwerkingsverantwoordelijke niet per se toegang hoeft te hebben tot de verwerkte persoonsgegevens. Daarnaast benadrukt het EDPB in de richtsnoeren dat de verwerkingsverantwoordelijke zowel het doel als de middelen van verwerking moet bepalen.

De verwerker mag volgens het EDPB maar een beperkte keuzevrijheid hebben bij de verwerking. Hij moet zich houden aan de instructies van de verwerkingsverantwoordelijke om schending van de AVG te voorkomen. De verwerker kan vooraf bepalen hoe zijn dienstverlening eruit gaat zien maar de verantwoordelijke heeft het laatste woord bij het bepalen van het doel van het verwerkingsproces. De verwerkingsverantwoordelijke blijft bovendien bevoegd om in een later stadium verandering van de verwerkingswijze te eisen.

Uit de richtsnoeren blijkt dat verwerkingsverantwoordelijken enkel verwerkers mogen inzetten die voldoende technische en organisatorische waarborgen bieden. De verwerkingsverantwoordelijke moet bij het kiezen van een verwerker letten op:

  • de expertise
  • betrouwbaarheid
  • financiële middelen

van de verwerker.

Daarnaast staat in de richtsnoeren dat bepaalde waarborgen en regels moeten worden opgenomen in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Alleen bepalingen uit de AVG overnemen ter bescherming van gegevens voldoet niet. De richtsnoeren eisen specifiekere en concretere informatie over de toepassing van de betreffende AVG-bepalingen in de praktijk.

Data-uitwisselingsovereenkomst

Verwerker en Verwerkingsverantwoordelijke: het blijft lastig. Maar er zijn situaties waarbij 2 partijen zelfstandig verwerkingverantwoordelijk zijn voor dezelfde data. In de praktijk kom ik dit nogal eens tegen bij franchise constructies. Een verwerkersovereenkomst is dan niet nodig.

Het EDPB raadt in dat soort situaties aan om de gezamenlijke verantwoordelijkheid vast te leggen in een bindende overeenkomst. Deze overeenkomst moet bepaalde verplichtingen uit de AVG bevatten, bijvoorbeeld het toepassen van de fundamentele principes van gegevensbescherming. Daarnaast moet ook de taakverdeling van de verantwoordelijken in de overeenkomst worden opgenomen. Tot slot moeten de gezamenlijk verantwoordelijken de ‘essentie van de overeenkomst’ ter beschikking stellen aan personen wiens gegevens worden verwerkt. In de richtsnoeren wordt nader toegelicht wat er wordt bedoeld met essentie van de overeenkomst.

De data-uitwisselingsovereenkomst regelt onder andere:

  • Beveiliging
  • Gebruiksrecht persoonsgegeven
  • Rechtmatigheid verwerking
  • Juistheid over te dragen persoonsgegevens
  • Eventuele vergoeding
  • Eventuele
  • Privacy en geheimhoudingsplicht
  • Duur en beëindiging
  • Aansprakelijkheid

 

Gratis Model data-uitwisselingsovereenkomst in de webshop

In onze webshop kun je een gratis model data-uitwisselingsovereenkomst vinden dat is opgesteld door de Rijksoverheid.

Wil je meer weten hoe je de AVG goed toepast, volg dan één van onze online trainingen.

Gerelateerd