Overslaan en naar de inhoud gaan

Geen verantwoordelijke, verwerker of ontvanger: de rol die mist in de AVG?

Geen verantwoordelijke, verwerker of ontvanger: de rol die mist in de AVG? Rolverdeling dekt niet alle situaties af.

In de Algemene verordening gegevensbescherming zijn een aantal rollen gedefinieerd voor organisaties die persoonsgegevens verwerken. In de praktijk komen we erachter dat die rolverdeling niet alle situaties afdekt. In dit artikel ga ik in op een aantal praktijksituaties.

HR Oplossingen

Ken je de kwaliteiten van jouw team? Benut je elkaars kwaliteiten en competenties wel voldoende? Samen leren, samen groeien; leer jezelf en je team écht kennen met onze HR-producten.Wil je meer informatie over deze of een van onze andere producten? Neem contact op met Gerben de Groot, Senior commercieel manager.

Rollen uit de AVG
De rollen voor organisaties die persoonsgegevens verwerken, zijn duidelijke afgebakend in de Algemene verordening gegevensbescherming (AVG):

HR Oplossingen

Ken je de kwaliteiten van jouw team? Benut je elkaars kwaliteiten en competenties wel voldoende? Samen leren, samen groeien; leer jezelf en je team écht kennen met onze HR-producten.Wil je meer informatie over deze of een van onze andere producten? Neem contact op met Gerben de Groot, Senior commercieel manager.


BMC Bedrijfsfilm

  • De Verwerkingsverantwoordelijke is de organisatie die iets met de gegevens van de betrokkene wil: daar een doel mee heeft en kiest op welke manier de gegevens worden verwerkt
  • De verwerker is de organisatie die de persoonsgegevens voor en in opdracht van de verwerkingsverantwoordelijke verwerkt, vaak omdat de verwerker dat beter kan dan de verwerkingsverantwoordelijke zelf.
  • Vaak zal een verwerker delen van de gegevensverwerking op haar beurt weer uitbesteden. Dan spreken we van een subverwerker.
  • De ontvanger is een organisatie die persoonsgegevens ontvangt van een verwerkingsverantwoordelijke en voor het ontvangen en verder verwerken daarvan eigen doelstellingen heeft.

Dit lijkt een sluitend systeem: of ik verwerk gegevens voor mijn eigen doelen en ik ben dan verantwoordelijke, of ik verwerk gegevens voor iemand anders en ben dan verwerker.



De praktijk is vaak weerbarstig
In de praktijk zien we nogal eens dat (medewerkers van) leveranciers zijdelings toegang hebben tot gegevens, zonder dat de opdracht aan een leverancier specifiek is gericht op het verwerken van persoonsgegevens. Zonder die specifieke opdracht is er volgens de AVG en volgens de uitleg op de website van de Autoriteit Persoonsgegevens (AP) geen sprake van een verwerker (1). Maar wat dan wel?

Wat zeggen de toezichthouders over deze situaties?
In de paper van de Artikel 29-werkgroep (de voorloper van de EDPB) over de verantwoordelijke en de verwerker wordt weliswaar een 'derde' gedefinieerd, maar deze wordt vervolgens als verantwoordelijke aangemerkt (2).

De AP geeft op haar website een aantal voorbeeldsituaties (3). Daaruit wordt duidelijk dat een leverancier alleen verwerker is wanneer deze primair de opdracht krijgt om gegevens te verwerken. De advocaat uit een van de voorbeelden is dus geen verwerker. Ook geeft de AP aan dat iemand die rechtstreeks onder het gezag valt van een verantwoordelijke, geen verwerker is. De AP geeft als voorbeeld een zzp'er die een medewerker vervangt die op zwangerschapsverlof gaat. Dit voorbeeld laat zien dat het “onder het gezag” vallen van een verwerkingsverantwoordelijke kennelijk hetzelfde is als het begrip “leiding en toezicht” of de gezagsverhouding uit het arbeidsrecht. Een zzp’er is immers alleen zelfstandige wanneer deze niet onder leiding en toezicht van de opdrachtgever staat. Bij vervanging van een interne medewerkers is dat waarschijnlijk wel het geval.

Praktische oplossingen binnen het kader van de AVG
In de praktijk zijn sommige situaties lastig te duiden. Dan komt het erop aan een praktische oplossing te vinden binnen de kaders van de AVG. Dat lukt wanneer we de verhouding tussen opdrachtgever en opdrachtnemer goed en helder vormgeven, opschrijven én wanneer de partijen daarnaar handelen. Zo voorkomen we discussies tussen partijen en met de toezichthouders achteraf. Hier volgen een paar voorbeelden uit de praktijk

Praktijksituatie 1: Onderhoud en schoonmaak
Een onderhoudsmonteur voor de luchtbehandeling of een schoonmaker is werkzaam in het gebouw van de opdrachtgever en ziet op een bureau persoonsgegevens liggen.
Duiding: Het is niet de bedoeling dat deze mensen toegang hebben tot de gegevens. Hier lijken de beveiligingsmaatregelen niet goed te werken. Met andere woorden: er is sprake van een datalek. Dat staat verder los van de gezagsverhoudingen tussen de opdrachtgevers en de medewerkers van de leverancier. door Julius Duijts, senior adviseur Informatie & Gegevensmanagement

Lees het gehele artikel op bmc.nl >

BMC Bedrijfsfilm


Duiding: Het is niet de bedoeling dat deze mensen toegang hebben tot de gegevens. Hier lijken de beveiligingsmaatregelen niet goed te werken. Met andere woorden: er is sprake van een datalek. Dat staat verder los van de gezagsverhoudingen tussen de opdrachtgevers en de medewerkers van de leverancier. door Julius Duijts, senior adviseur Informatie & Gegevensmanagement

Lees het gehele artikel op bmc.nl >

Lees het gehele artikel op bmc.nl >

Databankweg 26D
3821 AL Amersfoort

HR Oplossingen

Ken je de kwaliteiten van jouw team? Benut je elkaars kwaliteiten en competenties wel voldoende? Samen leren, samen groeien; leer jezelf en je team écht kennen met onze HR-producten.Wil je meer informatie over deze of een van onze andere producten? Neem contact op met Gerben de Groot, Senior commercieel manager.

BMC Bedrijfsfilm

Reacties: 1

U moet ingelogd zijn om een reactie te kunnen plaatsen.

karel

U bedoelt waarschijnlijk: de rol die ontbreekt in de AVG.

Op 21 april 2020, 22:53

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in