Externe partij: verwerker of niet?

Sinds de komst van de AVG heb ik meerdere organisaties mogen bijstaan met het opzetten en implementeren van een privacybeleid. Een terugkerend thema is het bepalen van de criteria waarmee wordt bepaalt of een externe partij (zoals een leverancier) verwerker of verwerkingsverantwoordelijke is. Nog steeds merk ik dat veel organisaties en privacy professionals hiermee worstelen. Nu wil ik hier niet stellen dat ik de wijsheid in pacht heb, maar de afgelopen jaren heb ik een beslisboom ontwikkeld die in de praktijk al vaak soelaas heeft geboden bij het beslechten van discussies en het wegnemen van onduidelijkheid. Ter lering en vermaak deel ik de beslisboom en de bijhorende toelichting in deze blog.

Wanneer er persoonsgegevens in het spel zijn, kan een externe partij acteren als verwerker of als verwerkingsverantwoordelijke. De AVG beschrijft dat de verwerkingsverantwoordelijke het ‘doel’ en de ‘middelen’ (het ‘waarom’ en het ‘hoe’) voor de verwerking van persoonsgegevens vaststelt (artikel 4.7 lid 7). Teneinde deze termen wat meer handen en voeten te geven binnen de kaders van de AVG, heeft de European Data Protection Board (EDPB) deze nader uitgewerkt in een richtlijn. Met name paragraaf 2.1.4 van deze richtlijn gaat in op de termen ‘doel’ en ‘middelen’ en is mede gebruikt als bron voor deze blog.

Uitgangspunten

Hanteer bij het bepalen van doel en middelen de volgende uitgangspunten.

  1. Persoonsgegevens worden verwerkt voor gespecificeerde, expliciete en legitieme doeleinden, en mogen niet worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.
  2. De verwerkingsverantwoordelijke bepaalt niet uitsluitend het doel, maar neemt ook beslissingen omtrent de middelen van de verwerking.
  3. De verwerker bepaalt nooit het doel van de verwerking.
  4. Er wordt onderscheid gemaakt tussen essentiële en niet-essentiële middelen. De verwerker mag invloed hebben op niet-essentiële middelen van de verwerking.
    1. Essentiële middelen zijn nauw verwant aan het doel en de scope van de verwerking, en worden bepaalt door de verwerkingsverantwoordelijke. Voorbeelden van essentiële middelen zijn:
      • Soort persoonsgegevens die worden verwerkt;
      • Looptijd van de verwerking (hoe lang worden de gegevens verwerkt?);
      • Toegangscontrole i.r.t. de persoonsgegevens tijdens en na de verwerking (wie heeft toegang tot de persoonsgegevens?);
      • Betrokkenen van de verwerking (wiens persoonsgegevens worden verwerkt?).
    2. Niet-essentiële middelen hebben meer met praktische zaken van de verwerking te maken, zoals keuzes voor hardware of software, of de wijze van implementatie van specifieke beveiligingsmaatregelen.
  5. De verwerkingsverantwoordelijke blijft altijd verantwoordelijk (en dus wettelijk aansprakelijk) voor de implementatie van passende technische en organisatorische maatregelen waarmee wordt geborgd én kan worden aangetoond dat de verwerking AVG compliant wordt uitgevoerd.
  6. Wanneer er sprake is van twijfel en het niet mogelijk blijkt om doelen en middelen eenduidig vast te stellen, dan wordt de externe partij gezien als verwerker.

Besliscriteria verwerkerschap

De bepaling of een partij een verwerker of verwerkingsverantwoordelijke is, dient te gebeuren aan de hand van de feitelijke/werkelijke situatie. Op basis van de hierboven geformuleerde uitgangspunten én een analyse van de adviesgenerator “Is dit een verwerker?” van Juridox, zijn de volgende besliscriteria geformuleerd:

  1. Inspraak in de doelen door de externe partij
    Wanneer de organisatie geen invloed heeft op hetgeen de externe partij met de persoonsgegevens gaat doen, dan treedt de externe partij op als verwerkingsverantwoordelijke. Bepaalt de organisatie wat de externe partij met de persoonsgegevens mag doen, dan treedt de externe partij op als verwerker.
  2. Beslisbevoegdheid in relatie tot de middelen van de externe partij
    Wanneer de externe partij invloed heeft op essentiële middelen van de verwerking, dan is zij aan te merken als verwerkingsverantwoordelijke. Wanneer de externe partij uitsluitend invloed heeft op niet-essentiële middelen, dan is zij aan te merken als verwerker.

Let op: het bepalen van doel en middelen is geen exacte wetenschap. Er zijn veel factoren die van invloed kunnen zijn, waarop afwijkende (juridische) interpretaties van toepassing kunnen zijn.

Uitzonderingen

In een aantal situaties is een externe partij niet aan te merken als verwerker:

  • Uitvoerders van een wettelijke taak zoals accountants, notarissen, advocaten, belastingdienst, arbodienst en UWV. Deze uitvoerders worden gezien als verwerkingsverantwoordelijke omdat zij zelf bepalen hoe zij de wettelijke taak uitvoeren.
  • Wanneer de door de externe partij uitgevoerde werkzaamheden onder “leiding en toezicht” van de organisatie vallen, terwijl de opdracht niet expliciet het verwerken van persoonsgegevens betreft, dan is de externe partij verwerkingsverantwoordelijke.
    • In het arbeidsrecht is het gebruikelijk om onder andere aan de hand van “leiding en toezicht” te bepalen hoe de gezagsverhouding ligt. Hierbij geldt doorgaans dat degene met het gezag, de eindverantwoordelijkheid draagt voor de (kwaliteit) van verrichte werkzaamheden. Binnen de context van de AVG wordt ook naar de gezagsverhouding tussen opdrachtgever en opdrachtnemer gekeken om te bepalen of een externe partij (opdrachtnemer) optreed als verwerker of als verwerkingsverantwoordelijke. In de praktijk wordt dit met verschillende termen aangeduid (als synoniem van “leiding en toezicht”): intern beheer (schema 3 op pagina 12 van de handleiding AVG), rechtstreeks gezag, ondergeschikt, hiërarchische verhouding.
    • Per situatie / inschakeling van een externe partij, dient te worden bepaald hoeveel invloed de organisatie daadwerkelijk heeft en hoeveel leiding er daadwerkelijk wordt gegeven. Soms is dat heel duidelijk. Bijvoorbeeld wanneer iemand ad interim invulling geeft aan een specifieke functie. Er zijn echter ook situaties waarbij dit minder makkelijk bepaald kan worden, waardoor er verdiepende vragen nodig zijn.
  • Wanneer er door de externe partij uitsluitend persoonsgegevens worden gevraagd die nodig zijn voor identificatie en authenticatie doeleinden (naam, gebruikersnaam, e-mailadres, telefoonnummer), is de externe partij aan te merken als verwerkingsverantwoordelijke. De externe partij bepaalt dan doel en middelen door te stellen dat deze persoonsgegevens nodig zijn voor identificatie / authenticatie doeleinden.
  • Wanneer een externe partij systematisch toegang heeft tot persoonsgegevens terwijl het verwerken van persoonsgegevens niet het voornaamste doel is van de dienstverlening, dan is de externe partij aan te merken als verwerker (artikel 81, EDPB richtlijn).

Beslisboom

Wanneer alle aspecten in relatie tot het bepalen van verwerkerschap worden verwerkt in een beslisboom, geeft dat de volgende figuur:

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.