Verwerker, verwerkingsverantwoordelijke en sub-verwerker

door | 30 april 2019

Hoe kunnen we helpen?

Created On
byRedactie Privacy Zeker
Print
Je bent hier:
< Terug naar handboek

Wat is een verwerkingsverantwoordelijke?

Een verwerkingsverantwoordelijke bepaalt welke persoonsgegevens er worden verwerkt van personen en waarom deze persoonsgegevens worden verwerkt. Bijvoorbeeld: een organisatie verzamelt namen en e-mailadressen van klanten om hen een nieuwsbrief te sturen, een webshop verzamelt naam, adres, telefoonnummer en e-mailadres van klanten om hen een bevestiging van hun online aankoop te kunnen mailen en om de aankoop naar het adres te kunnen verzenden, etc. Elke organisatie die op een manier persoonsgegevens verzamelt, is verwerkingsverantwoordelijke. (Bijna) élke organisatie is dat dus!

Wat is een verwerker?

Een verwerker is een organisatie (organisatie A), die in opdracht van een ander organisatie (organisatie B), persoonsgegevens verwerkt van derden die deze derden hebben verstrekt aan organisatie B. Organisatie B verstrekt dus de persoonsgegevens van derden aan organisatie A. Organisatie A, de verwerker, voldoet onder andere aan de volgende eigenschappen:

  • Organisatie A verzamelt in opdracht van organisatie B gegevens van derden;
  • Het primaire doel van de opdracht van organisatie A bestaat uit het opslaan van persoonsgegevens van derden;
  • Organisatie A heeft geen feitelijke invloed op welke persoonsgegevens er wel of niet worden verzameld en met welk doel deze persoonsgegevens worden verwerkt. Organisatie B, de opdrachtgever, heeft hier invloed op.

Een voorbeeld met betrekking tot verwerker

Omdat het begrip “verwerker” voor veel verwarring zorgt, volgt hier een voorbeeld waarin de begrippen “verwerker”, “verwerkingsverantwoordelijke” en “derden” aan bod komen. Het voorbeeld heeft betrekking op de volgende situatie: een webshopeigenaar heeft een webshop waar producten aan klanten worden verkocht. De webshop eigenaar maakt tegen betaling gebruik van een stukje van de server van het hostingbedrijf om zo zijn webshop te kunnen runnen. Als een klant een product koopt via de webshop worden persoonsgegevens verstrekt aan de webshopeigenaar, bijvoorbeeld naam en adres van de klant, zodat de webshopeigenaar het product kan opsturen naar de klant. De webshop eigenaar is dus een verwerkingsverantwoordelijke. De persoonsgegevens die de klant verstrekt aan de webshopeigenaar bij aankoop van een product worden opgeslagen op het platform, dus de website, die wordt gehost door het hostingbedrijf. Het hostingsbedrijf is daarom een verwerker, nu het van derden (de klanten van de webshopeigenaar) persoonsgegevens verwerkt.

De beschreven situatie is in de volgende diagram verwerkt:

Ben ik een verwerker?

Aan de hand van de beslisboom hieronder kan je bepalen of je een verwerker bent. Als je aan de volgende vereisten voldoet, kan het zijn dat je een verwerker bent:

  • Een verwerker verwerkt in opdracht van de klant persoonsgegevens van derden;
  • Het primaire doel van de opdracht van de klant aan de verwerker moet bestaan uit het opslaan van persoonsgegevens van derden;
  • Een verwerker heeft geen feitelijke invloed op welke persoonsgegevens er wel of niet worden verzameld en met welk doel deze persoonsgegevens worden verwerkt. De opdrachtgever van de verwerker heeft hier invloed op.

Weet je niet zeker of je verwerker bent? Neem bij twijfel contact op met onze Helpdesk via info@privacyzeker.nl of 020-2617980.

 

 

Richtsnoeren voor accountants, belastingadviseurs en salarisprofessionals

In de AVG-praktijk bestaat er veel onduidelijkheid over de vraag of een accountant, belastingadviseur of salarisprofessional bij het verlenen van diensten aan klanten optreedt als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’. Er zijn richtsnoeren opgesteld om duidelijkheid te verschaffen over de rol van de accountant, belastingadviseur en salarisprofessional. De meest voorkomende diensten en werkzaamheden binnen de mkb-praktijk zijn in kaart gebracht waarbij wordt aangegeven wanneer men ‘verwerkingsverantwoordelijke’ of ‘verwerker’ is, gezien vanuit de AVG. Bekijk hier de richtsnoeren voor accountants, belastingadviseurs en salarisprofessionals. 

Wat is een sub-verwerker?

Stel, je bent een verwerker. Op het moment dat jij voor de diensten die jij aan jouw klanten als verwerker aanbiedt, op jouw beurt weer een andere partij inschakelt, dan maak je gebruik van een zogenoemde ‘sub-verwerker’. Hiervoor moet je toestemming hebben van je klant. Zie voor meer informatie het kopje hieronder “ik ben verwerker, wat moet ik regelen?”.

Ik ben verwerkingsverantwoordelijke én ik maak gebruik van een verwerker, wat moet ik regelen?

De AVG heeft gezorgd voor veel nieuwe verplichtingen in van de verwerker en de partij die hem inschakelt. Belangrijke punten om aan te denken zijn:

  • Verwerkersovereenkomst of verwerkersvoorwaarden, zie het begrip ‘verwerkersovereenkomst/verwerkersvoorwaarden’. Beide partijen zijn verantwoordelijk voor het sluiten van een verwerkersovereenkomst of verwerkersvoorwaarden. Als onderdeel van jouw Privacy Zeker abonnement kun je gebruik maken van de modelovereenkomst die we hiervoor hebben opgesteld. Deze overeenkomst is te vinden in het dashboard onder ‘jouw documenten’. Grotere partijen (zoals Google, Microsoft of Mailchimp) zitten niet te wachten op veel afwijkende overeenkomsten, deze partijen hebben veelal een eigen overeenkomst of voorwaarden opgesteld.
  • Locatie opslag persoonsgegevens. De AVG geeft aan dat de persoonsgegevens in principe moeten worden opgeslagen binnen de Europese Economische Ruimte (EER). Staan de servers van jouw verwerker daar dan mag je zonder aanvullende eisen gebruik maken van de diensten van deze verwerker. Is er echter (ook) opslag van persoonsgegevens buiten de EER dan moet je goed opletten. Alleen partijen die werken binnen het ‘Privacy Shield’ (Verenigde Staten) of gebruik maken van een ‘EU-modelcontract’ mag je als verwerker inzetten. Over het algemeen geven deze partijen dat duidelijk aan op hun website in een privacyreglement of gebruiksvoorwaarden.

Ik ben verwerker, wat moet ik regelen?

Ook als verwerker moet je aan verschillende punten denken:

  • Verwerkersovereenkomst. Als verwerker moet je ervoor zorgen dat je met jouw klanten een verwerkersovereenkomst afsluit. Als onderdeel van jouw Privacy Zeker abonnement kun je gebruik maken van de modelovereenkomst die we hiervoor hebben opgesteld. Uiteraard kun je ook werken met overeenkomsten die jouw klanten hiervoor willen gebruiken. Het is verstandig om zoveel mogelijk van je eigen model gebruik te maken. Op deze manier werk je voor al je klanten op dezelfde manier. En kun je jouw processen daarop inrichten.
  • Werken met sub-verwerkers. Wanneer je voor de diensten die je jouw klanten als verwerker aanbiedt op jouw beurt weer andere partijen inschakelt, maak je gebruik van sub-verwerkers. Zoals in de tekst hierboven beschreven, moet je hiervoor toestemming hebben van jouw klant. Heb je een algemene toestemming om bepaalde sub-verwerkers in te schakelen (bijvoorbeeld opgenomen in de verwerkersovereenkomst) en ga je andere sub-verwerkers inschakelen? Dan moet je jouw klant hierover infomeren. Je blijft volledig aansprakelijk richting jouw klant bij het inschakelen van een sub-verwerker. Deze partij moet je verplichten om minimaal hetzelfde niveau van bescherming van de persoonsgegevens te bieden, zoals je dat ook biedt aan jouw klanten.
  • Verplichtingen klanten. Jouw klanten hebben verplichtingen ten opzichte van de betrokkenen (degene van wie de persoonsgegevens worden bijgehouden). Je ben verplicht om mee te werken aan het uitvoeren van sommige van die verplichtingen. Zo moet je jouw klant helpen wanneer een betrokkene gebruik wil maken van bijvoorbeeld zijn inzagerecht, correctierecht of verwijderingsrecht, een PIA moet uitvoeren of wanneer je onverhoopt te maken krijgt met een datalek.