Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.3.3
2.2.3.3 ‘Verwerker’
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660908:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 75
Dat is anders indien werknemers de gegevens voor eigen doeleinden gebruiken, buiten het kader van de activiteiten van de onderneming. Ten aanzien van deze verwerkingen bepalen zij zelf het doel en de middelen en zijn zij dan ook wel de verwerkingsverantwoordelijke. Zie art. 29-werkgroep 2010, WP 169, §III.1.c en §III.2 en Zwenne, in: T&C Privacy- en telecommunicatierecht 2018, AVG, art. 4, aant. 8. Dat de handelingen van werknemers aan werkgevers zijn toe te rekenen, neemt overigens niet weg dat werknemers in deze context wel ernstig verwijtbaar kunnen handelen. Wanneer zij bijvoorbeeld in dossiers kijken waartoe zij geen bevoegdheid hebben, is dit een ernstig verwijtbare handeling waarvoor zij kunnen worden ontslagen zonder dat er een transitievergoeding is verschuldigd (Hof ’s-Hertogenbosch 23 januari 2020, ECLI:NL:GHSHE:2020:204, r.o. 3.7.2 (Appellante v. Stichting GGZ).
Art. 29-werkgroep 2010, WP 169, §I.1.
Art. 29-werkgroep 2010, WP 169, §III.2; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt.12.
Art. 29-werkgroep 2010, WP 169, §III.2.
Art. 29-werkgroep 2010, WP 169, §III.2 (onder ‘Meerdere verwerkers’); Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 73.
Art. 28 en 32 lid 4 AVG. Art. 32 lid 4 bepaalt eigenlijk dat verwerkingsverantwoordelijken en verwerkers maatregelen moeten treffen om aan art. 29 AVG te voldoen. Art. 29 AVG staat vervolgens in nauw verband met art. 28 lid 3 onder b AVG, dat de verhouding tussen verwerkingsverantwoordelijken en verwerkers betreft (zie hierover Millard & Kamarinou 2020, p. 613 e.v.).
Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 77 e.v.
Zie §6.2.
Een ‘verwerker’ in de zin van de AVG is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.1 Bij een verwerking is slechts een verwerker betrokken als de verwerkingsverantwoordelijke een ander inschakelt voor het verrichten van de verwerking waarvan hij het doel heeft bepaald. Een verwerker is een van de verwerkingsverantwoordelijke losstaande (rechts)persoon.2 De handelingen van personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke staan – zoals werknemers – worden in beginsel aan de verwerkingsverantwoordelijke toegerekend.3
Net als verwerkingsverantwoordelijke is verwerker een functionele term.4 Of een partij een verwerker is, hangt af van de feitelijke verhoudingen tussen deze partij en de verwerkingsverantwoordelijke. Alle feitelijke omstandigheden zijn van belang, zoals de activiteiten van de verwerkingsverantwoordelijke en verwerker.5 Hoewel de verwerkingsverantwoordelijke en de verwerker de te verrichten verwerkingen contractueel moeten regelen, 6 is de afwezigheid van zo’n contract geen bewijs van de afwezigheid van een verwerker. Een (rechts)persoon kan de verwerkingsverantwoordelijke zijn ten aanzien van de ene verwerking en de verwerker met betrekking tot de andere.7 Een veel gebruikt voorbeeld om dit te illustreren is dat van het salarisadministratiekantoor; dat verwerkt de gegevens van de werknemers van zijn klanten (en is ten aanzien daarvan verwerker), maar ook van zijn eigen werknemers (en is ten aanzien daarvan de verwerkingsverantwoordelijke). Of een partij in een specifieke situatie verwerkingsverantwoordelijke of verwerker is, hangt af van de concrete activiteiten die zij met betrekking tot deze verwerking verricht.
Overigens is het ook mogelijk dat er meerdere verwerkers bij een verwerking zijn betrokken. Zij kunnen bijvoorbeeld verschillende bewerkingen uitvoeren. Het kan lastig zijn om in een dergelijk geval vast te stellen welke verwerker welke verantwoordelijkheid draagt. 8
Een verwerker mag in beginsel alleen persoonsgegevens verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.9 Omdat hij dient te handelen ten behoeve van de verwerkingsverantwoordelijke moet hij zijn aanwijzingen opvolgen.10 Wanneer hij dit niet doet, en uit zichzelf andere verwerkingen verricht, is hij ten aanzien van deze verwerkingen de verwerkingsverantwoordelijke. Hij zal in dat geval moeten voldoen aan de verplichtingen die de AVG aan verwerkingsverantwoordelijken oplegt.11
Een verwerkingsverantwoordelijke kan de verwerker enige keuzevrijheid geven, waardoor deze bijvoorbeeld bevoegd kan zijn om de voor de verwerking meest geschikte technische en organisatorische beveiligingsmaatregelen te kiezen. Het maken van de beslissingen ten aanzien van dergelijke ‘niet-essentiële middelen’ kan de verwerkingsverantwoordelijke immers delegeren (§2.2.3.2). Dit ontslaat de verwerkingsverantwoordelijke echter niet van zijn verantwoordelijkheid.12 Indien de verwerkingsverantwoordelijke de verwerker hiervoor toestemming geeft, kan de verwerker er ook voor kiezen een (sub-)verwerker in te schakelen. Ook deze moet zich houden aan de opdrachten van de verwerkingsverantwoordelijke.13 Voor wat betreft de beveiliging van persoonsgegevens klinkt de verhouding tussen verwerkingsverantwoordelijken en verwerkers ook door in art. 32 lid 4 AVG, dat bepaalt dat verwerkingsverantwoordelijke en de verwerker maatregelen moeten treffen om “ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe EU-rechtelijk of lidstaatrechtelijk is gehouden”.