Het blijft een interessant leerstuk in de AVG: De verhouding tussen de verwerker en de verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijke is verantwoordelijk voor de persoonsgegevensverwerking van betrokkenen. Dit is de organisatie (of andere entiteit) die het doel en van de middelen voor de persoonsgegevensverwerking vaststelt.(1) Een verwerker is de organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.(2)
Een bekend voorbeeld ter illustratie is het uitbesteden van de salarisadministratie. De organisatie legt deze werkzaamheden bij een extern bedrijf neer, een activiteit waar persoonsgegevensverwerking bij komt kijken. De organisatie is dan de verwerkingsverantwoordelijke, het externe bedrijf de verwerker.
Er kan ook sprake zijn van twee verwerkingsverantwoordelijken.(3) Dan stellen beiden organisaties de doelen en middelen vast. Dit zal het geval zijn wanneer de externe bedrijf die salarisadministratie doet de verstrekte gegevens ook voor een eigen doel verwerkt.(4) Het kan in de praktijk lastig zijn om precies te bepalen wie de verwerker is en wie de verwerkingsverantwoordelijke. Hier vind je een voorbeeldlijst van verschillende situaties, die jou kunnen helpen bepalen welke positie jij en de organisaties waarmee je samenwerkt hebben ten aanzien van persoonsgegevensverwerking.
Voetnoten
(1) art. 4 sub 7 AVG.
(2) art. 4 sub 8 AVG.
(3) art. 26 AVG.
(4) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving
