Van de week zag ik opeens de aloude TV hit “Wie ben ik” in een nieuw jasje langs komen. Ik zag de verwarring bij de kandidaten en moest meteen aan de AVG-rollen verwerker en verwerkingsverantwoordelijke denken.

Volgens mij is dit ook het onderwerp waarover de meeste misverstanden bestaan op dit moment. Vaak is voor een partij niet duidelijk welke rol ze hebben.

Daarnaast is het oppassen geblazen: de verwerkersovereenkomst wordt nogal eens gebruikt om allerlei aansprakelijkheden in af te dekken die niets met de AVG van doen hebben. De meest opmerkelijke was wel een model verwerkersovereenkomst die een klant mij mailde waarin ook meteen het incassobeleid werd vastgelegd. Nota bene opgesteld door een branchevereniging.

 

Verwerker en verwerkersverantwoordelijke

Niet zo verwonderlijk overigens dat er veel misverstanden zijn: de AVG is hier heel summier over.

De AVG zegt: De verwerkersverantwoordelijke is degene die het doel en de middelen voor de verwerking van persoonsgegevens vast stelt. Een verwerker is degene die ten behoeve van de verantwoordelijke gegevens verwerkt.

De verwerkersverantwoordelijke is dus de partij die de beslissingen neemt over:

  • Watwordt verwerkt (welke gegevens)
  • Hoewordt verwerkt (welke wijze)
  • Waaromwordt verwerkt (met welk doel)

 De verwerker is degene die dat allemaal niet doet.

Tot zover lijkt het duidelijk, maar nu komt het.

Verwerker ben je alleen als de diensten die je aanbiedt specifiek bedoeld zijn voor het uitvoeren verwerken van persoonsgegevens voor je opdrachtgever. Als de verwerking van gegevens gebeurt omdat het een uitvloeisel is van een andere vorm van dienstverlening dan ben je geen verwerker maar voor die gegevens die je bij het uitvoeren van je dienst vastlegt zelfstandig verwerkersverantwoordelijke.

En daarmee ontstaat meteen een groot grijs gebied.

Bij een IT bedrijf dat clouddiensten aanbiedt is het wel duidelijk. Zij zijn altijd verwerker. De dienst is immers het verzorgen van opslag van gegevens van hun klant inclusief persoonsgegevens. En opslaan is al een verwerking volgens de AVG. Hetzelfde geldt voor een salarisadministrateur. Zijn/haar dienst is het verwerken van salarisgegevens.

Als datzelfde IT bedrijf gegevens van hun klanten vastlegt, en dat zullen ze zeker doen, dan zijn voor die persoonsgegevens weer zelfstandig verwerkersverantwoordelijke.

 

Bepaal je rol en check je verwerkersovereenkomsten nog eens.

De verwerker en verwerkersverantwoordelijke hebben in de AVG heel verschillende verplichtingenZo mag een verwerker nooit zonder toestemming van de verwerkingsverantwoordelijke een sub verwerker inschakelen. De salarisadministrateur die op zijn beurt de administratie in een clouddienst onderbrengt, zal dat alleen met toestemming van de verantwoordelijke mogen doen. De verantwoordelijke zal in sommige gevallen weer aan veel meer verplichtingen moeten voldoen

 Het is daarom verstandig om aan de hand van de drie vragen, nog even goed te checken wat je rol is. En, zoals het voorbeeld van het IT bedrijfje kan die rol ook per soort verwerking, per proces verschillen.

Als je duidelijk hebt wat je rol bij een bepaalde activiteit is, kijk dan nog eens naar je verwerkingsovereenkomsten. Nu de hausse aan verwerkersovereenkomsten achter de rug is, heb je daar hopelijk nu tijd voor.

 

Wil je meer lezen?

In mijn nieuwe boek beschrijf ik uitgebreider over de toestemming voor het gebruik van foto’s, maar ook hoe organisaties  efficiënt kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.

Door de werkprocessen waarbij persoonsgegevens worden verwerkt als uitgangspunt te nemen en die te begrijpen en te analyseren wordt de implementatie van de AVG stukken eenvoudiger en effectiever.

Door zo te werken, draagt de privacy verantwoordelijke bij aan de innovatie van de processen in plaats van de ontwikkeling te remmen. Medewerkers worden actief betrokken waardoor minder weerstand ontstaat en een beter privacy bewustzijn wordt gecreëerd.

Met deze aanpak wordt vertrouwen bij en zelfs waarde voor de klant geleverd.

In mijn boek leg ik uit hoe je de principes van leanmanagement kunt toepassen in het privacy domein.

Wil je ook lean werken met privacy? Bestellen kan hier

Bron:

 

Gerelateerd