Na hulp van de Autoriteit Persoonsgegevens volgt handhaving?!
De Autoriteit Persoonsgegevens (hierna: ‘AP’) wordt steeds actiever in het geven van voorlichting over de juiste toepassing van de AVG. Daarbij horen zaken als een goed begrip van een register van verwerkingen en de vraag of je al dan niet verwerkingsverantwoordelijke bent of verwerker.
Uitleg begrippen verwerkingsverantwoordelijke en verwerker
Een verwerkingsverantwoordelijke is een organisatie die het doel en de middelen van de verwerking bepaalt. Kortom: je bepaalt waarom en hoe de persoonsgegevens worden verwerkt.
Een verwerker is een partij, die in opdracht van en volgens instructies van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Dus, een verwerker verwerkt onder een overeenkomst met de verwerkingsverantwoordelijke persoonsgegevens voor die verwerkingsverantwoordelijke. Zodra de verwerker de persoonsgegevens voor een eigen doel gaat verwerken wordt hij verwerkingsverantwoordelijke.
De AP geeft nu enkele situaties weer en geeft aan of er sprake is van
- Verwerkingsverantwoordelijke en verwerker
óf
- Twee verwerkingsverantwoordelijken.
De voorbeeldenlijst van de AP kun je hier bekijken: Voorbeeldenlijst (274 downloads )
De AP geeft daarbij direct aan dat de situaties in de lijst bewust simpel zijn gehouden en dat het van de omstandigheden van het geval afhangt of er sprake is van een verwerker of niet. Geheel terecht, immers in de praktijk zijn er soms zeer complexe samenwerkingsvormen, waarbij het ook voor een privacy jurist een uitdaging is om te doorgronden welke partij het doel en de middelen bepaalt en daarmee als verwerker of verwerkingsverantwoordelijke kan worden gekwalificeerd.
De AP deelt voor het bepalen of u verwerker of verwerkingsverantwoordelijke bent ook het volgende stroomschema. Stroomschema (281 downloads )
Verwerkersovereenkomst
Als je dan eenmaal bepaald hebt of je verwerkingsverantwoordelijke en/of verwerker bent, rust vervolgens op jou de verplichting om een verwerkersovereenkomst te sluiten en jouw verplichtingen als respectievelijk verwerkingsverantwoordelijke of verwerker na te komen.
Bekijk onze checklists AVG op www.deraadgevers.nl of je alle relevante zaken heeft opgenomen in een verwerkersovereenkomst en/of je weet welke verplichtingen op jou rusten en ook aan welke verplichtingen je jouw wederpartij kunt houden.
Voor verwerkersovereenkomsten geldt dat je bepalingen daarin kunt opnemen, die in jouw voordeel zijn geschreven. Raadpleeg een AVG jurist om de juiste juridische nuances aan te brengen.
Geen verwerkersovereenkomst
Komt uit het stroomschema van de AP dat je en jouw wederpartij beiden verwerkingsverantwoordelijken zijn, dan sluit je geen verwerkersovereenkomst. Je gaat dan een overeenkomst tussen twee verantwoordelijken aan. Deze overeenkomst is met name of de onderlinge aansprakelijkheid te regelen.
Met de toelichting en het stroomschema van de AP wordt het de hoogste tijd om – voor zover je daar nog niet mee bezig bent geweest – te beoordelen of je de AVG juist hebt uitgelegd. Je kunt er immers op wachten dat de AP nu strenger gaat optreden als je de AVG niet juist of zelfs in zijn geheel niet hebt opgepakt op dit onderdeel. De verwachting is dan ook dat de AP nadat de informatie traject is afgerond zal gaan handhaven.
Tot slot nog de boete voor het niet kunnen overleggen van een verwerkersovereenkomst: maximaal 10 miljoen euro, waarbij verzachtende en verhardende omstandigheden kunnen worden meegenomen!
September 2019
Mr. drs. S.A. Sheoraj Panday
Senior jurist AVG & IE