Ben jij verwerker, verantwoordelijke of allebei?

AVG

De Avg maakt een onderscheid tussen een ‘verwerker’ en een ‘verwerkingsverantwoordelijke’. Dit onderscheid is van belang, want bij de verschillende rollen horen verschillende verplichtingen. Welke rol heb jij? Welke gegevensstromen horen bij jouw rol en welke verplichtingen? Onze jurist Paula Hooyman helpt je graag verder.

Welke rol heb jij?

Om te bepalen of je verwerker bent of verwerkingsverantwoordelijke heeft NLdigital een quickscan gemaakt. Hier vul je hem in. Grofweg is het onderscheid als volgt.

  • Bepaal jij het doel voor de verwerking van persoonsgegevens en de middelen? Dus het waarom en het hoe? Dan ben je doorgaans verwerkingsverantwoordelijke.
  • Verwerk je persoonsgegevens in opdracht van een klant? Dan ben je doorgaans verwerker.

Let op: je kan ook allebei zijn. Verwerker voor één stroom persoonsgegevens, en verwerkingsverantwoordelijke voor een andere stroom persoonsgegevens.

Welke gegevensstromen horen bij jouw rol?

Als je verwerkingsverantwoordelijke bent, verwerk je verschillende gegevensstromen. Bijvoorbeeld de persoonsgegevens van je eigen werknemers, de persoonsgegevens van je klanten die je nodig hebt voor je eigen CRM-administratie en de persoonsgegevens van de bezoekers van je website.

Een voorbeeld: als ICT-leverancier heb je waarschijnlijk een CRM-administratie met daarin persoonsgegevens van jouw klanten. Jij bepaalt wat er met de gegevens gebeurt en waarom je ze verzamelt. Dat is het doel. Jij bepaalt ook wat die CRM-administratie mag kosten, wie er mee mogen werken en welke software je daarvoor gebruikt. Dit zijn de middelen. Je bent verwerkingsverantwoordelijke voor die data.

Als je verwerker bent, verwerk je andere gegevensstromen. Namelijk de persoonsgegevens die jouw klant heeft en waar jij bij kan.

Een voorbeeld: je levert als ICT-leverancier een SaaS-dienst voor een CRM-administratie aan jouw klanten. Het is de administratie ‘van de klant’, maar jij kan bij de persoonsgegevens voor bijvoorbeeld service en onderhoud. Je bent verwerker voor die gegevensstromen.

Wat zijn jouw verplichtingen?

Wat je verplichtingen zijn, hangt af van je rol. Hieronder lees je welke verplichtingen de verwerkingsverantwoordelijke heeft, welke de verwerker en welke verplichtingen voor allebei gelden.

Dit zijn de verplichtingen van een verwerkingsverantwoordelijke:

  • Je mag persoonsgegevens alleen verwerken als je daar een goede reden voor hebt en je de doelen vooraf duidelijk omschrijft.
  • Je mag alleen gegevens verwerken als je daarvoor een grondslag hebt. De grondslagen staan in artikel 6, 9 en 10 van de Avg.
  • Je moet betrokkenen informeren via een begrijpelijke privacyverklaring. Betrokkenen zijn de personen van wie jij persoonsgegevens verwerkt. > lees meer
  • Je moet de rechten van betrokkenen respecteren. Bijvoorbeeld het recht op inzage, op verbetering, op dataportabiliteit en op gegevenswissing. > lees meer
  • Je moet alle datalekken documenteren en bepaalde datalekken melden aan de Autoriteit Persoonsgegevens en/of betrokkenen. > lees meer
  • Soms moet je een Data Protection Impact Assessment (DPIA) uitvoeren. > lees meer
  • Je moet van de Avg invulling geven aan Privacy by design & default. Let op: dit is verplicht voor jou als verwerkingsverantwoordelijke. Maar de verwerker kan dit ook al toepassen in de ontwikkeling van zijn producten of diensten. > lees meer

Dit zijn de verplichtingen van een verwerker:

  • Je moet je houden aan de instructies die je krijgt van de verwerkingsverantwoordelijke voor het verwerken van de persoonsgegevens.
  • Je moet je klanten ondersteunen als zij verzoeken krijgen van betrokkenen. Maar, je mag hierover niet zelf beslissingen nemen.
  • Je moet je klant ondersteunen bij een Data Protection Impact Assessment (DPIA) door alle informatie te geven die zij hiervoor nodig heeft.
  • Je moet de verwerkingsverantwoordelijke informatie geven die haar helpt om datalekken te kunnen melden en bijhouden. Je moet informatie aanleveren over het incident, de waarschijnlijke gevolgen, de contactgegevens van je security- of privacycontactpersoon en de maatregelen die zijn genomen of genomen moeten worden.

Dit zijn de verplichtingen voor de verwerkingsverantwoordelijke en de verwerker samen:

  • Jullie moeten samen een verwerkingsovereenkomst afsluiten. > lees meer
  • Jullie moeten allebei ‘passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen’. > lees meer
  • Jullie moeten allebei een register bijhouden van alle verwerkingsactiviteiten. > lees meer

Meer weten?

Heb je vragen over de Avg? Of over jouw rol als verwerker of verwerkingsverantwoordelijke? En de verplichtingen die hierbij horen? Onze juristen geven je graag advies.

Naar juridisch advies