Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

Verwerker of verwerkingsverantwoordelijke? Vergissen leidt tot inbreuk op GDPR (time.lex)

Auteurs: Edwin Jacobs en Dorien Surinx (time.lex)

Publicatiedatum: 02/10/2018

Een kwartaal na de invoering van de Algemene Verordening Gegevensbescherming, beter bekend onder de Engelstalige afkorting GDPR, duiken er steeds vaker cijfers op over de naleving ervan. De cijfers zijn niet altijd positief, want ondanks de inspanningen en financiële investeringen die vele bedrijven deden met het oog op 25 mei 2018, blijkt dat een groot deel van de bedrijven nog niet voldoet aan de bepalingen van de GDPR.

Was er nu verantwoordelijkheid of verwerking?

Een van de redenen hiervoor is volgens Wolfsen, directeur van de Nederlandse Autoriteit Persoonsgegevens (de Nederlandse toezichthoudende autoriteit, vergelijkbaar met de Belgische Gegevensbeschermingsautoriteit, voorheen de Privacycommissie), de verwarring omtrent verschillende begrippen uit de GDPR en dan vooral het onderscheid tussen verwerkingsverantwoordelijke en verwerker van persoonsgegevens.

De GDPR stelt de tweedeling nochtans vrij eenvoudig voor. Een entiteit is verwerkingsverantwoordelijke indien zij “het doel en de middelen voor de verwerking vaststelt” en is verwerker in het geval van “verwerken van persoonsgegevens ten behoeve van een verwerkingsverantwoordelijke”.

Toch blijkt het onderscheid in de praktijk soms niet eenvoudig. Sommige bedrijven trachten de vinger naar elkaar te wijzen voor verantwoordelijkheid of trachten contractueel de rollen te verdelen, maar een verkeerde kwalificatie kan ertoe leiden dat bedrijven aan de verkeerde GDPR-verplichtingen trachten te voldoen. Dit brengt ons tot de vraag: “wat wordt verstaan onder doel en middelen van de verwerking, en wanneer word je geacht deze vast te stellen?”

De verantwoordelijke bepaalt doel en middelen

De verwerkingsverantwoordelijke is diegene die doel en middelen van de verwerking bepaalt, met andere woorden: diegene die het “waarom” en het “hoe” van de verwerking vaststelt. Voorbeelden van doelstellingen zijn het optimaliseren van de surfervaring op een website of het verstrekken van gepersonaliseerde reclame. In tegenstelling tot wat de term “middelen van de verwerking” zou doen vermoeden, slaat dit niet enkel op de technische modaliteiten van verwerking, zoals bijvoorbeeld het gebruik van cookies, maar omvat dit bijvoorbeeld ook het bepalen van het type gegevens dat verwerkt zal worden, alsook het bepalen van de bewaartermijn van de gegevens. Een voorbeeld van een verwerkingsverantwoordelijke is een werkgever.

Wanneer een “verwerker”?

Indien de middelen in opdracht van de verwerkingsverantwoordelijke worden vastgesteld is het antwoord echter iets complexer. De vraag die zich hier stelt is of er door de verwerker over de essentiële elementen van de middelen wordt beslist. Indien de verwerker louter de technische en organisatorische aspecten bepaalt, zijn dat waarschijnlijk geen essentiële elementen. Een voorbeeld is het aanbieden van cloudopslag.

Beslist de verwerker daarentegen over de bewaartermijn van persoonsgegevens of de doorgifte van gegevens aan derden bijvoorbeeld, dan gaat het niet om een werkelijke verwerker, maar eerder om een verwerkingsverantwoordelijke. Bovendien zal een partij die zichzelf als verwerker kwalificeert, maar die wel een aandeel heeft gehad in het bepalen van de doelstellingen die aan de verwerking ten grondslag liggen, toch eerder als verwerkingsverantwoordelijke worden gekwalificeerd.

Het Wirtschaftsakademie arrest

Het aandeel waarvan sprake kan bestaan in het gebruik van de verwerkte gegevens in het eigen voordeel, bijvoorbeeld voor het verstrekken van add-on services, of door het louter hebben van een invloed op de vaststelling van de doelstellingen. Dit volgt uit het Wirtschaftsakademie arrest waarbij het Duitse Wirtschafsakademie, dat nochtans geen toegang had tot de verwerkte persoonsgegevens, als gezamenlijke verwerkingsverantwoordelijke (met Facebook) werd gehouden op grond van het voordeel dat Wirtschafsakademie haalde uit de verwerking en de invloed die zij hadden in het bepalen van de doelstellingen voor de verwerking.

Uit bovenstaande blijkt dat het bepalen van het onderscheid tussen verwerkingsverantwoordelijke en verwerker een feitenkwestie is. De kwalificatie moet geval per geval worden bekeken en kan niet contractueel worden vastgelegd, als dit niet overeenstemt met de realiteit.

Wat als u zich vergist van rol?

Het belang van het onderscheid tussen verantwoordelijke en verwerker ligt in het verschil aan verplichtingen en verantwoordelijkheden die beide kwalificaties met zich mee brengen. De verantwoordelijke draagt de hoofdverantwoordelijkheid voor de verwerking. Zo zal de verantwoordelijke bijvoorbeeld instaan voor de naleving van de GDPR door de verwerker, het verkrijgen van rechtsgeldige toestemming en het toekennen van rechten van de betrokkenen, zoals het recht op toegang (al dan niet met hulp van de verwerker).

Bent u een verwerker, dan dient u onder meer de persoonsgegevens te verwerken in overeenstemming met de doelstellingen bepaald door de verwerkingsverantwoordelijke, de verwerkingsverantwoordelijke in te lichten van datalekken en mee te werken aan controles op de naleving van de GDPR.

Indien u zicht vergist van rol of uw contractueel bepaalde rol stemt niet overeen met de realiteit, dan kan is er sprake van een onjuiste kwalificatie en voldoet u mogelijks niet aan de juiste verplichtingen van de GDPR, wat kan leiden tot een sanctie of administratieve geldboete.

Hulp bij de juiste kwalificatie?

Heeft u een juridische vraag over de kwalificatie van uw bedrijf als verwerkingsverantwoordelijke, dan wel als verwerker en de GDPR-verplichtingen die hieraan gekoppeld zijn? Internationaal advocatenkantoor time.lex kan u helpen bij de juiste kwalificatie. Meer weten? Neem contact op met time.lex voor een vrijblijvende kennismaking.

Lees hier het originele artikel

» Bekijk alle artikels: Privacy & Gegevensbescherming