- Herculesplein 213, 3584 AA Utrecht
- +31 30 251 64 24
- info@vanodijk.nl
“Of je de meegezonden verwerkersovereenkomst wilt ondertekenen, want dat moet volgens de AVG”.
Het lijkt erop alsof er bijna geen enkele organisatie meer is die deze vraag niet één of meerdere keren heeft gekregen. Om te (willen) voldoen aan de AVG worden er massaal verwerkersovereenkomsten toegezonden aan organisaties waarmee persoonsgegevens worden gedeeld. Ook in de gevallen waarin helemaal geen verwerkersovereenkomst hoeft te worden gesloten , zo blijkt uit de praktijk.
In deze blog daarom de vraag: wanneer moet er nu een verwerkersovereenkomst worden afgesloten?
Rollen onder de AVG
Het korte antwoord op de vraag is: als je als verwerker persoonsgegevens gaat verwerken voor een verwerkingsverantwoordelijke.
Om de vraag goed te beantwoorden, is het dus nodig om te weten wat de AVG verstaat onder verwerkingsverantwoordelijke en onder verwerker.
In onze twee eerdere blogs over de AVG is al op die rolverdeling ingegaan. Kort en goed:
De verwerker heeft bij de uitvoering van de verwerking nog wel enige ruimte om aan het hoe (de middelen) invulling te geven, maar de verwerker is nooit de partij die het doel van de verwerking bepaalt. Doet de verwerker dat toch, dan is hij voor die verwerking zélf verwerkingsverantwoordelijke. Bij verwerkers gaat het overigens om externe partijen (niet om de eigen werknemers van de verwerkingsverantwoordelijke).
Wanneer nu wel/niet een verwerkersovereenkomst?
Als je verwerker bent en vanuit die rol voor een verwerkingsverantwoordelijke persoonsgegevens gaat verwerken moet dus een verwerkersovereenkomst worden afgesloten. Ben je daarentegen zelf degene die bepaalt wat er met de ontvangen persoonsgegevens gaat gebeuren, dan zal je geen verwerker zijn en is een verwerkersovereenkomst niet aan de orde.
De eerste situatie zal meestal aan de orde zijn als de opdracht die je krijgt hoofdzakelijk ziet op het verwerken van persoonsgegevens. De tweede situatie zal vaak aan de orde zijn als de verwerking van persoonsgegevens een uitvloeisel is van een andere vorm van dienstverlening.
Enkele voorbeelden hiervan zijn:
wel verwerkersovereenkomst tussen
een werkgever (verwerkingsverantwoordelijke) en het door die werkgever voor het uitvoeren van de loonadministratie ingeschakelde administratiekantoor (verwerker)
een cloudprovider (verwerker) en de organisatie (verwerkingsverantwoordelijke) die haar data met persoonsgegevens bij die cloudprovider opslaat.
geen verwerkersovereenkomst tussen
een werkgever (verwerkingsverantwoordelijke) en zijn werknemers (de werknemers zijn geen verwerker, want in dienst bij de werkgever)
een aannemer en zijn opdrachtgever bij een overeenkomst voor het bouwen van een huis (de aannemer bepaalt zelf wat hij doet met van de opdrachtgever ontvangen persoonsgegevens, zoals bijvoorbeeld de contactgegevens van de architect).
Geen Wet van Meden en Perzen
Een algemeen gelende vuistregel valt echter helaas niet te geven. Van belang blijft om per geval te beoordelen wat de rol van partijen is. Daarbij is de praktijk vaak weerbarstig en hebben partijen soms meerdere rollen. Een kritische houding ten opzichte van de soms vele verwerkersovereenkomsten die ter ondertekening worden aangeboden kan echter bepaald geen kwaad.
Meer lezen?
In Handleiding AVG van de Rijksoverheid wordt op een duidelijk en overzichtelijke manier ingegaan op de AVG, wat die betekent en hoe daaraan te voldoen. Met behulp van de AVG-regelhulp van de Autoriteit Persoonsgegevens kan aan de hand van een interactieve vragenlijst worden nagaan hoe ver je als verwerkingsverantwoordelijke op stoom bent met het voldoen aan de AVG.
Vragen?
Voor vragen over de AVG neemt u gerust contact op met: Sheevani Bharatsingh.