Wanneer je contracten afsluit is het belangrijk om, in het geval er persoonsgegevens worden verwerkt door partijen, te beoordelen of er een verwerkersovereenkomst moet worden afgesloten.
Wanneer persoonsgegevens door een verwerker worden verwerkt ten behoeve van een verwerkingsverantwoordelijke, verplicht de AVG om de betreffende verwerking te regelen via een overeenkomst, de verwerkersovereenkomst.
Een verwerkersovereenkomst is verplicht in de volgende gevallen:
Gegevensverwerking door verwerker ten behoeve van een verwerkingsverantwoordelijke.
Gegevensverwerking door sub-verwerker ten behove van een verwerker.
Niet zeker of de partij waarmee je zaken doet een verwerker is, of jij als verwerker aangemerkt
kan worden? Volg de beslisboom hieronder om de AVG-positie te bepalen van de betreffende
partij.
In de Algemene Verordening Gegevensbescherming (AVG) wordt onderscheid gemaakt tussen partijen in de manier waarop zij verantwoordelijk zijn voor een verwerking van persoonsgegevens.
'Verwerken'
Betekent: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Verzamelen, vernietigen, bewerken, doorsturen, etc.; alles valt onder het verwerken van persoonsgegevens.
De AVG regelt de wetgeving als het gaat om verwerken.
De rollen/posities van partijen welke worden genoemd in de AVG zijn:
• Verwerkingsverantwoordelijke
Dit is de partij die het doel en de middelen bepaalt van een verwerking, dus het waarom en het hoe van een verwerking van persoonsgegevens. Elk bedrijf die persoonsgegevens verwerkt voor eigen doeleinden is een verwerkingsverantwoordelijke.
Voorbeeld: Een webshop is een verwerkingsverantwoordelijke, omdat deze persoonsgegevens verzamelt van klanten om bestellingen af te handelen op een manier die de webshop eigenaar heeft bepaald.
• Verwerker
Dit is de partij die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, dus verwerken van persoonsgegevens in opdracht van een klant.
Voorbeeld: een salarisadministrateur is een verwerker, zij verwerkt persoonsgegevens van de medewerkers van bedrijf X (persoonsgegevens waar bedrijf X verwerkingsverantwoordelijke voor is, aangezien bedrijf X de arbeidsovereenkomsten sluit en het salaris dient uit te betalen)
• Gezamenlijk verwerkingsverantwoordelijke
Soms is er niet slechts 1 partij verantwoordelijke voor het bepalen van het doel en de middelen. In dat geval spreken we van gezamenlijk verwerkingsverantwoordelijke.
Voorbeeld: wanneer je samen met andere bedrijven besluit op één terrein camerabeveiliging op te hangen en hier samen gebruik van maakt.
• Ontvanger
Dit is de partij die persoonsgegevens ontvangt van een verwerkingsverantwoordelijke en voor het ontvangen en verder verwerken van de persoonsgegevens eigen doelstellingen heeft. Denk bijvoorbeeld aan de belastingdienst of het UWV.
Per contract of situatie kan een partij een andere AVG rol vervullen.
Zo kan een bedrijf verwerkingsverantwoordelijke zijn voor de persoonsgegevens die deze ver-
werkt van haar medewerkers, maar verwerker zijn in relatie met haar afnemers. Dit is vaak het geval bij softwarebedrijven.
Het is belangrijk om de rollen van partijen te definiëren omdat de AVG hier verschillende
verplichtingen aan verbindt, zoals het wel/niet afsluiten van een verwerkersovereenkomst.
Om aan de wet te voldoen moet je dus weten welke rol jij en welke rol jouw leveranciers en klanten vervullen. Beslis of een partij verwerker of (gezamenlijk) verwerkingsverantwoordelijke is met de volgende beslisboom.