Met de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 is de belangstelling voor het onderwerp ‘privacy’ enorm toegenomen, maar zijn ook misverstanden ontstaan.
Een van de hardnekkigste is wel dat bij een samenwerking met derden waarbij persoonsgegevens een rol spelen of worden verstrekt, een verwerkersovereenkomst gesloten moet worden. In de voormalige Wet bescherming persoonsgegevens waren deze rollen al geregeld, de AVG heeft in deze relatie geen wijziging gebracht.
De verwerker is een ‘natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’.(1)
Om vast te stellen wie als verwerker moet worden aangemerkt, is cruciaal dat die partij persoonsgegevens verwerkt in opdracht van de verantwoordelijke. Dit moet eng worden uitgelegd. Het heeft altijd betrekking op het uitbesteden van een gegevensverwerking, niet het uitbesteden van een taak waarbij persoonsgegevens een rol spelen. Een hulpverleningsinstantie die door de gemeente is gecontracteerd om hulp of zorg te verlenen is zelden een ‘verwerker,’ maar is bijna altijd een zelfstandige verantwoordelijke. Die instantie heeft op grond van een eigen professie een relatie met de betrokkene en is om die reden aan te merken als een zelfstandige verwerkingsverantwoordelijke. Dit blijkt ook uit het feit dat de medewerkers zijn onderworpen aan een eigen beroepscode of tuchtregels.
Er is dus alleen sprake van een verwerker als een gegevensverwerking wordt uitbesteed aan een externe partij, zoals bij de aanschaf van bijvoorbeeld een cliëntregistratiesysteem, of als een gegevensverwerking geoutsourcet of in de cloud gezet wordt.
Men kan niet zonder meer zelf besluiten om een partij als verwerker aan te wijzen; de afbakening tussen de verwerker en de verwerkingsverantwoordelijke wordt bepaald door de definities van de wet, de inhoud van de overeenkomst en de concrete feitelijke situatie.(2)
De logica van het onderscheiden van die twee rollen is dat ter bescherming van de persoonlijke levenssfeer van de betrokkenen de verantwoordelijkheden voor de verwerking helder moeten zijn. De betrokkene moet weten wie hij aan kan spreken. De verantwoordelijke kan zich niet onttrekken aan aansprakelijkheid met de mededeling dat de werkzaamheden elders worden uitgevoerd en de verwerker kan zich niet onttrekken aan aansprakelijkheid voor dat deel dat hem aangaat.(3)
Het moet gaan om een verwerking van gegevens die de verantwoordelijke anders zelf zou uitvoeren;
De verwerking wordt uitgevoerd ten behoeve van en namens de verwerkingsverantwoordelijke;
De verwerker is niet hiërarchisch ondergeschikt aan de verwerkingsverantwoordelijke;
De verwerkingsverantwoordelijke bepaalt de doeleinden van de verwerking en geeft instructies aan de verwerker;
De verwerker heeft geen zeggenschap over de gegevens, mag ze niet voor andere doeleinden gebruiken of verrijken met informatie uit bronnen waar de verwerkingsverantwoordelijke zelf niet over mag beschikken.
In een wijkteam waar diverse disciplines samenkomen en gegevens worden uitgewisseld is geen sprake van een verwerker. Het doel van de samenwerking is niet primair het uitbesteden van een gegevensverwerking. Het doel is samenwerking in het belang van de cliënt.
Als met meerdere organisaties wordt samengewerkt, dan kan sprake zijn van een gezamenlijke verantwoordelijkheid van de partijen.(4) Ook kan de situatie zich voordoen dat bij het inschakelen van een externe deskundige persoonsgegevens aan deze partij worden verstrekt. Daarmee wordt die externe tegenover de betrokkene een zelfstandige verwerkingsverantwoordelijke.
(1) Art. 4 lid 8 AVG
(2) Advies 01/2010 van de Groep gegevensbescherming art. 29 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker” (WP 169).
(3) Art. 28 en 82 AVG.
(4) Art. 26 AVG.
Deze maand is het boek ‘Privacy in het sociaal domein’ (auteurs Corrie Ebbers, Paulien Bunt, Sophie Vastenhout en Micha Venderbos) verschenen. In dit boek wordt aan de hand van de volgende voorbeelden toegelicht of sprake is van een verwerker:
Een Centrum voor Jeugd en Gezin dat in opdracht van de gemeente taken uit de Jeugdwet uitvoert.
Een externe partij die post verzendt en daarvoor namen en adressen nodig heeft .
Een sociale werkvoorziening die de re-integratie uitvoert in opdracht van de gemeente.
Zorgaanbieders die thuiszorg en schoonmaak leveren.
Vrijwilligers of stagiaires die worden ingeschakeld onder regie van de gemeente of een instelling.
Als de gemeente een taak mandateert aan een partij buiten de eigen organisatie.
Bij delegatie en samenwerking op grond van een gemeenschappelijke regeling.
Dit artikel is ook te vinden in het dossier Privacy in het sociaal domein