6 apr 2020
Geen verantwoordelijke, verwerker of ontvanger: de rol die mist in de AVG?
door Julius Duijts, senior adviseur Informatie & Gegevensmanagement
In de Algemene verordening gegevensbescherming zijn een aantal rollen gedefinieerd voor organisaties die persoonsgegevens verwerken. In de praktijk komen we erachter dat die rolverdeling niet alle situaties afdekt. In dit artikel ga ik in op een aantal praktijksituaties.
Rollen uit de AVG
De rollen voor organisaties die persoonsgegevens verwerken, zijn duidelijke afgebakend in de Algemene verordening gegevensbescherming (AVG):
- De Verwerkingsverantwoordelijke is de organisatie die iets met de gegevens van de betrokkene wil: daar een doel mee heeft en kiest op welke manier de gegevens worden verwerkt
- De verwerker is de organisatie die de persoonsgegevens voor en in opdracht van de verwerkingsverantwoordelijke verwerkt, vaak omdat de verwerker dat beter kan dan de verwerkingsverantwoordelijke zelf.
- Vaak zal een verwerker delen van de gegevensverwerking op haar beurt weer uitbesteden. Dan spreken we van een subverwerker.
- De ontvanger is een organisatie die persoonsgegevens ontvangt van een verwerkingsverantwoordelijke en voor het ontvangen en verder verwerken daarvan eigen doelstellingen heeft.
Dit lijkt een sluitend systeem: of ik verwerk gegevens voor mijn eigen doelen en ik ben dan verantwoordelijke, of ik verwerk gegevens voor iemand anders en ben dan verwerker.
De praktijk is vaak weerbarstig
In de praktijk zien we nogal eens dat (medewerkers van) leveranciers zijdelings toegang hebben tot gegevens, zonder dat de opdracht aan een leverancier specifiek is gericht op het verwerken van persoonsgegevens. Zonder die specifieke opdracht is er volgens de AVG en volgens de uitleg op de website van de Autoriteit Persoonsgegevens (AP) geen sprake van een verwerker (1). Maar wat dan wel?
Wat zeggen de toezichthouders over deze situaties?
In de paper van de Artikel 29-werkgroep (de voorloper van de EDPB) over de verantwoordelijke en de verwerker wordt weliswaar een 'derde' gedefinieerd, maar deze wordt vervolgens als verantwoordelijke aangemerkt (2).
De AP geeft op haar website een aantal voorbeeldsituaties (3). Daaruit wordt duidelijk dat een leverancier alleen verwerker is wanneer deze primair de opdracht krijgt om gegevens te verwerken. De advocaat uit een van de voorbeelden is dus geen verwerker. Ook geeft de AP aan dat iemand die rechtstreeks onder het gezag valt van een verantwoordelijke, geen verwerker is. De AP geeft als voorbeeld een zzp'er die een medewerker vervangt die op zwangerschapsverlof gaat. Dit voorbeeld laat zien dat het “onder het gezag” vallen van een verwerkingsverantwoordelijke kennelijk hetzelfde is als het begrip “leiding en toezicht” of de gezagsverhouding uit het arbeidsrecht. Een zzp’er is immers alleen zelfstandige wanneer deze niet onder leiding en toezicht van de opdrachtgever staat. Bij vervanging van een interne medewerkers is dat waarschijnlijk wel het geval.
Praktische oplossingen binnen het kader van de AVG
In de praktijk zijn sommige situaties lastig te duiden. Dan komt het erop aan een praktische oplossing te vinden binnen de kaders van de AVG. Dat lukt wanneer we de verhouding tussen opdrachtgever en opdrachtnemer goed en helder vormgeven, opschrijven én wanneer de partijen daarnaar handelen. Zo voorkomen we discussies tussen partijen en met de toezichthouders achteraf. Hier volgen een paar voorbeelden uit de praktijk
Praktijksituatie 1: Onderhoud en schoonmaak
Een onderhoudsmonteur voor de luchtbehandeling of een schoonmaker is werkzaam in het gebouw van de opdrachtgever en ziet op een bureau persoonsgegevens liggen.
Duiding: Het is niet de bedoeling dat deze mensen toegang hebben tot de gegevens. Hier lijken de beveiligingsmaatregelen niet goed te werken. Met andere woorden: er is sprake van een datalek. Dat staat verder los van de gezagsverhoudingen tussen de opdrachtgevers en de medewerkers van de leverancier.
Praktijksituatie 2: Installatie van ICT-apparatuur
Een IT-bedrijf installeert beveiligingscamera’s (of andere netwerkapparatuur) in een gebouw. Vervolgens worden de camera’s voor oplevering getest.
Duiding: In dit geval er geen opdracht tot het verwerken van persoonsgegevens en daarom is het IT-bedrijf geen verwerker. Wanneer er, bijvoorbeeld bij het testen van de camera’s, toch persoonsgegevens worden verwerkt is het IT-bedrijf zelf de verantwoordelijke.
Een andere duiding is mogelijk wanneer de opdrachtgever de installatie van de apparatuur coördineert en de toegang tot persoonsgegevens zelf aanstuurt en controleert. In dat geval kun je zeggen dat de medewerkers van de leverancier onder het gezag van de opdrachtgever vallen.
Praktijksituatie 3: Applicatiebeheer
Een organisatie laat applicatiebeheer uitvoeren door een derde partij. Het applicatiebeheer omvat in dit geval het updaten van softwareversies en het verhelpen van verstoringen in de software.
Duiding: Er is geen opdracht verstrekt tot het verwerken van persoonsgegevens en daarom is de applicatiebeheerder geen verwerker. Wanneer er toch persoonsgegevens worden verwerkt, is de applicatiebeheerder daarvoor zelf de verantwoordelijke. Deze heeft echter geen grondslag voor de verwerking, waardoor de verwerking onrechtmatig zou zijn.
Een alternatieve en meer praktische benadering is om de toegang tot persoonsgegevens vanuit de opdrachtgever aan te sturen en te controleren. Dat kan bijvoorbeeld door specifieke medewerkers van de leverancier alleen voor de duur van de werkzaamheden toegang te geven en door de toegang te loggen. Dan werken de medewerkers van de leverancier onder het gezag van de opdrachtgever. Dat kan ook het geval zijn wanneer een medewerker van de leverancier de werkzaamheden op locatie uitvoert, bijvoorbeeld één dag per week.
Praktijksituatie 4: Applicatiebeheer met verwerking van gegevens
Deze situatie is gelijk aan de vorige, alleen nu krijgt de de applicatiebeheer ook de taak om een databaseconversie uit te voeren.
Duiding: In dit geval omvat de opdracht wél het verwerken van persoonsgegevens, namelijk het converteren van deze gegevens. Dus is een verwerkersovereenkomst nodig, tenzij de (medewerkers van de) leveranciers onder het gezag van de opdrachtgever werken.
Praktijksituatie 5: Oplossen van verstoringen
Een leverancier van databasesoftware helpt een IT-leverancier bij het oplossen van een verstoring. Daarvoor moeten de data in de database worden geanalyseerd. De database bevat (ook) persoonsgegevens. Voor het achterhalen van een programmatuurfout, die in een testomgeving met testdata niet gereproduceerd kan worden, is een analyse in de productieomgeving met actuele persoonsgegevens vaak de enige mogelijkheid.
Duiding: Het lastige van deze situatie is, dat deze niet is te voorzien, maar wel urgent is. Er zal meestal geen tijd zijn voor het afsluiten van een verwerkersovereenkomst. In dit geval lijkt het werken onder het gezag van de opdrachtgever de meest uitvoerbare en praktische oplossing. Dat betekent wel dat de opdrachtgever in dit geval goed mee moet kijken met wat de leverancier doet om te zorgen dat dit ook de feitelijke situatie is.
Praktijksituatie 6: Meekijken door de helpdesk
Een organisatie maakt gebruik van bepaalde software. Wanneer een gebruiker problemen heeft bij het gebruik van de software kijkt de helpdesk van de leverancier mee op het scherm van de gebruiker en ziet daar persoonsgegevens.
Duiding: Ook in dit geval is de opdracht niet het verwerken van persoonsgegevens en is de helpdesk daarom geen verwerker. Het meekijken vindt plaats op verzoek van en onder direct toezicht van een medewerker van de opdrachtgever. Hierdoor kan gesteld worden dat de helpdeskmedewerker werkt onder het gezag van de opdrachtgever.
Wat te doen wanneer de leverancier verantwoordelijke is
Wanneer we concluderen dat de leverancier zelf de verantwoordelijke is, heeft de opdrachtgever een grondslag nodig om de gegevens te verstrekken aan de leverancier. Dat zou een gerechtvaardigd belang kunnen zijn. Bijvoorbeeld wanneer het verstrekken van gegevens aan de leverancier noodzakelijk is voor het uitvoeren van een overeenkomst tussen de opdrachtgever en de betrokkene. Een andere plausibele grondslag is het uitvoeren van een taak in het algemeen belang, wanneer de opdrachtgever bij wet opgedragen taken uitvoert. In al deze gevallen zou de leverancier volgens art. 14 AVG de betrokkenen moeten informeren over de verwerking. Dat stuit met name bij incidentele situaties op praktische problemen en kan voor verwarring zorgen bij de betrokkenen.
Het goed onderbouwen van de grondslag kan lastig zijn en vereist grondige kennis van privacywetgeving en richtlijnen van toezichthouders.
Wat te doen als medewerkers van de leverancier onder gezag van de opdrachtgever werken
Wanneer we concluderen dat de (medewerkers van de) leverancier onder het gezag van de opdrachtgever vallen, is een verwerkersovereenkomst dus niet nodig. Toch zullen we wel de geheimhouding en beveiliging van gegevens willen waarborgen. Daarvoor is het volgende nodig:
- Een geheimhoudingsovereenkomst
- Een overeenkomst met de eis dat de medewerkers van de leverancier zich houden aan de gedragsregels van de opdrachtgever, dat zij zorgen dat gegevens niet op servers van de leverancier worden verwerkt en eventuele specifieke beveiligingsmaatregelen.
Raadpleeg voor dat laatste ook een beveiligingsexpert om alle risico’s voldoende te beperken. Beide overeenkomsten kunnen uiteraard in één document worden opgenomen.
Conclusie
Er mist geen rol in de AVG, maar in de praktijk is in een aantal situaties wel creativiteit nodig om een praktische oplossing te vinden binnen de kaders van de AVG. Voor deze praktische toepassing van de AVG is het verstandig om voor het afsluiten van contracten goed met de leverancier te overleggen wat de beoogde AVG-rol van de leverancier is, deze goed vast te leggen én de afspraken na te leven:
- Verantwoordelijke - dan moet er een grondslag zijn voor het verstrekken van de gegevens en moeten betrokkenen worden geïnformeerd.
- Verwerker - dan moeten beide partijen een verwerkersovereenkomst afsluiten én bereid en in staat zijn om zich daar aan te houden. Voor kleinere leveranciers blijkt het vaak niet op korte termijn mogelijk om aan eisen uit de verwerkersovereenkomst te voldoen, bijvoorbeeld aan het beveiligingsniveau van ISO27001, NEN7510 (in de zorg) of de BIO (bij overheid).
- Werkend onder het gezag van de opdrachtgever - dan moet de gekozen werkwijze daar wel bij passen, moeten gegevens niet worden verwerkt op servers van de leverancier en moeten passende afspraken over gedragsregels en geheimhouding worden gemaakt als onderdeel van de opdrachtverstrekking, of als dit bij de opdrachtverstrekking niet is gebeurd in de vorm van een addendum of aanvullende overeenkomst.
Voetnoten
(1) Op https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/verwerkers staat: “U bent alleen verwerker voor zover het verwerken van persoonsgegevens de primaire opdracht van een andere organisatie is.”
(2) Paragraaf III.3 in Advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke”en “verwerker”, WP169, Working Party Art. 29, 16 februari 2010
(3) https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/voorbeeldlijst_verwerkers_def.pdf
Deze publicatie verscheen op 3 april 2020 als artikel op Privacyweb.