Hoe u, als u een verwerker bent, een verwerker blijft: meer is niet altijd beter

Uit puur enthousiasme en diepgewortelde privacyliefde willen verwerkers nogal ver gaan in hun privacyverantwoordelijkheid. Denk aan het direct melden van datalekken bij de Autoriteit Persoonsgegevens of het bedenken van een eigen wettelijke grondslag voor de verwerking. Lekker bezig, zou u in eerste instantie denken. Des te meer een verwerker bezig is met privacy en verplichtingen uit de Algemene verordening gegevensbescherming (AVG), des te beter voor de privacy van betrokkenen. Dat klinkt logisch. Het is alleen niet zo dat hoe meer een verwerker zich inzet op privacy, hoe meer zij voldoet aan de AVG. Integendeel, als een verwerker te veel verantwoordelijkheid neemt, kan dat zorgen voor ongewenste situaties.

Hoe zit dat?

U moet niet op de stoel van de verwerkingsverantwoordelijke gaan zitten”, hoor ik vaak mensen zeggen in de privacypraktijk. Maar waarom is dat zo? En hoe ver gaat dat eigenlijk?

Als verwerker heeft u ook verplichtingen onder de AVG. Desalniettemin zijn verwerkers ook begrensd in hun verwerkingsruimte. Een belangrijk en welbekende grens voor de verwerker is het gebruiken van persoonsgegevens voor eigen doeleinden. Als u zelf persoonsgegevens gaat gebruiken voor eigen doeleinden evolueert u als verwerker naar verwerkingsverantwoordelijke. Daarom blijft u als verwerker liever binnen de instructies van de verantwoordelijke. Maar dat is niet de enige begrenzing.

Het is aan de verwerkingsverantwoordelijke om datalekken te melden aan de autoriteit(en), en om betrokkenen te informeren over de verwerking van persoonsgegevens. Dat kan bijvoorbeeld door middel van een privacyverklaring. Hoewel het begrijpelijk is dat vanuit verantwoordelijkheid verwerkers de behoefte voelen ook deze verplichtingen naar zich toe te trekken, is het af te raden om dat te doen. Een dergelijke handelswijze kan er namelijk voor zorgen dat u de rol van verwerkingsverantwoordelijke naar u toe trekt. Dit kan leiden tot vragen van betrokkenen en/of de Autoriteit Persoonsgegevens. Doorslaggevend voor de vraag of u een verwerker of verwerkingsverantwoordelijke bent, zijn immers de feitelijke omstandigheden. Hoe u uzelf naar buiten toe opstelt als partij is een factor die mee kan spelen bij het bepalen van de rol die u als partij aanneemt.

Mocht de Autoriteit Persoonsgegevens en/of de rechter hierover moeten oordelen, dan kan de verantwoordelijkheid die u als verwerker op u heeft genomen, ertoe leiden dat u als verwerkingsverantwoordelijke kan worden gezien. In dat geval is de kans aanzienlijk dat u niet voldoet aan alle verplichtingen die u als verwerkingsverantwoordelijke in ogenschouw had moeten nemen. U bent namelijk altijd uitgegaan van een rol als verwerker. 

Daar zit u dan met uw goede gedrag: terwijl u eigenlijk vanuit pure privacypassie uw eigen verwerkersverplichtingen oversteeg, doet u onder voor de verplichtingen van de verwerkingsverantwoordelijke, waardoor u uiteindelijk niet volledig in lijn met de AVG handelt. Dat is gewoon balen.

Maar wat moet u dan doen als verwerker?

Begin bij het begin: wees u bewust van uw positie als verwerker, specifiek ten opzichte van de verwerkingsverantwoordelijke. Als verwerker voert u op schriftelijke instructies van de verantwoordelijke een verwerking, of reeks verwerkingen uit. Dat is dus ook op basis van de wettelijke grondslag die de verwerkingsverantwoordelijke vastlegt. Dat is dus eigenlijk vanuit AVG-perspectief voornamelijk een faciliterende rol.

Kijk naar uw verplichtingen als verwerker. Als in de AVG staat dat een verwerkingsverantwoordelijke verplicht is om iets te doen (zoals het uitvoeren van een DPIA), zorg dan dat u haar daarin faciliteert. U hoeft dus niet de kar te trekken.  

Dit geldt bijvoorbeeld ook bij een datalekmelding aan betrokkene of autoriteit (33/34 AVG), het informeren van betrokkenen (13/14 AVG), het uitvoeren van een privacy assessment (35 AVG) en het ontvangen en invulling geven aan verzoeken van betrokkenen (15-22 AVG). Artikel 28 AVG biedt een mooi overzicht van alle verplichtingen ten aanzien van het bieden van ondersteuning van de verwerker aan de verwerkingsverantwoordelijke.

Maak over de ondersteuning bij deze verplichtingen duidelijke praktische afspraken met de verwerkingsverantwoordelijke. De aangewezen manier om dit te doen is om dit soort dingen vast te leggen in een verwerkersovereenkomst. Spreek onder meer af welke telefoonnummers/e-mailadressen gebruikt moeten worden bij datalekken en/of verzoeken van betrokkenen, en binnen welke tijd u zal reageren.

In het kort..

Hoe paradoxaal het ook klinkt, meer is niet altijd beter in het geval van AVG-verplichtingen. Let op uw rol ten opzichte van de ander, en de verplichtingen die daarmee gepaard zijn. Neem als verwerker niet meer hooi op uw vork dan nodig, maar vind de balans binnen uw eigen verantwoordelijkheid als verwerker, en uw faciliterende rol voor de verantwoordelijke.

Duizelt dit hele verhaal u een beetje? Schroom dan niet even contact met ons op te nemen, om vrijblijvend te kletsen over uw positie als verwerker – of als u twijfelt over de verhoudingen van verantwoordelijkheid.

Terug naar overzicht