Vergroot contrast

Verwerkers

Checkbox verwerkers

Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld voor het uitbesteden van de boekhouding. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat.

AVG-eisen verwerkingsverantwoordelijken en verwerkers

Als verwerkingsverantwoordelijke blijft u altijd verantwoordelijk voor de persoonsgegevens die u verwerkt. Ook wanneer u die verwerking uitbesteedt aan verwerkers. Uw klanten, burgers, patiënten etc. hebben hun persoonsgegevens immers met ú gedeeld. En niet met uw verwerkers.

Maar dat betekent niet dat u als verwerker geen verantwoordelijkheden heeft. Ook ú moet aan bepaalde AVG-regels voldoen. Opdrachtgevers mogen dat ook van u verwachten. U onderscheidt zich bovendien positief wanneer u laat zien dat u de AVG-regels kent en daaraan voldoet.

Ben ik verwerkingsverantwoordelijke of verwerker?

In de praktijk kan het soms lastig zijn om te bepalen of u verwerker of verwerkingsverantwoordelijke bent. Daarom vindt u in dit dossier het antwoord op veelgestelde vragen over hoe u dat bepaalt.

Verwerkersovereenkomst

Verwerkingsverantwoordelijken en verwerkers moeten samen een verwerkersovereenkomst afsluiten. Doen zij dat niet? Dan zijn beide partijen in overtreding. 

Nieuws

Alle nieuwsberichten over het onderwerp 'Verwerkers'

Alle antwoorden op mijn vragenVragen over wie de verwerker en verwerkingsverantwoordelijke is

  • Wanneer is de organisatie waaraan ik gegevens verstrek verwerker en wanneer verwerkingsverantwoordelijke?

    Schakelt u een andere organisatie in om persoonsgegevens voor u te verwerken? Dan kan deze organisatie uw verwerker zijn. Maar niet elke partij waaraan u gegevens verstrekt, is uw verwerker.

    Het kan ook dat u allebei verwerkingsverantwoordelijke bent voor uw eigen verwerking, ook al gaat het om dezelfde persoonsgegevens.

    Zie ook: voorbeeldlijst 'Wie is hier de verwerkers en wie de verwerkingsverantwoordelijke?'

    Verwerkingsverantwoordelijke en verwerker

    Geeft u die andere organisatie de opdracht persoonsgegevens te verwerken waarvoor u zelf verantwoordelijk bent? Met andere woorden: bepaalt u wat er moet gebeuren met de gegevens en hoe?

    Zo ja, dan bent u de verwerkingsverantwoordelijke en de andere organisatie de verwerker. U moet dan een verwerkersovereenkomst afsluiten met die andere organisatie.

    Twee verwerkingsverantwoordelijken

    De vraag wanneer de andere organisatie geen verwerker is maar verwerkingsverantwoordelijke, hangt af van waar de feitelijke invloed ligt op het doel en de middelen van de verwerking.

    Verwerkt de andere organisatie de door u verstrekte gegevens voor eigen, zelf bepaalde doeleinden? Dan is deze organisatie verwerkingsverantwoordelijke, net als u.

    Bepaalt de andere organisatie alleen de middelen van de verwerking, maar zijn dit wel essentiële aspecten? Ook dan is deze organisatie verwerkingsverantwoordelijke.

    Gevolgen twee verwerkingsverantwoordelijken

    Is de organisatie waaraan u gegevens verstrekt geen verwerker, maar verwerkingsverantwoordelijke? Dan hoeft u geen verwerkersovereenkomst met deze organisatie af te sluiten.

    Het betekent ook dat deze organisatie zelf moet bepalen of de verwerkingen voldoen aan alle eisen van de Algemene verordening gegevensbescherming (AVG). Bijvoorbeeld of er een geldige grondslag is om de persoonsgegevens te verwerken.

  • Hoe beoordeel ik wie de verwerkingsverantwoordelijke is?

    Bepaalt uw organisatie voor welk doel de persoonsgegevens worden verwerkt en de manier waarop het gebeurt? Dan ziet de Algemene verordening gegevensbescherming (AVG) u als de verwerkingsverantwoordelijke. 

    De AVG stelt verschillende eisen aan verwerkingsverantwoordelijken en verwerkers. Daarom is het belangrijk om dit onderscheid te maken.

    Situaties die maken dat u verwerkingsverantwoordelijke bent

    Om te beoordelen of u verwerkingsverantwoordelijke bent, helpt het om te kijken of er sprake is van 1 van de volgende 3 situaties:

    1. Feitelijke invloed
    Uw organisatie bepaalt met welk doel de persoonsgegevens worden verwerkt en de manier waarop dat gebeurt. De andere partij moet uw instructies volgen.

    De gezagsverhouding kan bijvoorbeeld blijken uit de schriftelijke afspraken die u heeft gemaakt. Bijvoorbeeld in de verwerkersovereenkomst.

    Maar uiteindelijk is doorslaggevend wie in de praktijk daadwerkelijk de beslissingen neemt.

    2. Uitdrukkelijke juridische bevoegdheid
    In de wet staat expliciet genoemd dat uw organisatie bepaalde persoonsgegevens mag of moet verwerken.

    3. Impliciete bevoegdheid
    In de wet staat niet expliciet benoemd dat u bepaalde persoonsgegevens mag of moet verwerken. Maar het ligt wel voor de hand dat u dat moet doen.

    Denk aan een werkgever die persoonsgegevens van zijn medewerkers verwerkt. Of een vereniging die de gegevens van haar leden verwerkt.

    Praktische hulpmiddelen

  • Ik werk in opdracht van een andere organisatie. Ben ik dan altijd verwerker?

    Nee. U bent alleen verwerker voor zover het verwerken van persoonsgegevens de primaire opdracht van een andere organisatie is. En u niet rechtstreeks onder het gezag van die organisatie valt.

    U verwerkt persoonsgegevens in opdracht

    U bent verwerker als u persoonsgegevens verwerkt in opdracht van een andere organisatie. U gebruikt deze persoonsgegevens niet voor eigen doeleinden.

    Verwerkt u ook persoonsgegevens buiten de opdracht van de andere organisatie? Of verwerkt u de persoonsgegevens voor uw eigen doeleinden? Dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke. U moet zich dan houden aan de eisen die gelden voor verwerkingsverantwoordelijken.

    Rechtstreeks gezag

    Als u een verwerker bent, moet u zich weliswaar volledig houden aan de instructies van de organisatie die u de opdracht heeft gegeven om persoonsgegevens te verwerken. Maar dat is iets anders dan wanneer u ‘rechtstreeks onderworpen bent aan het gezag’ van de verwerkingsverantwoordelijke.

    U werkt bijvoorbeeld onder rechtstreeks gezag als u gedetacheerd bent bij een andere organisatie. Er is dan sprake van intern beheer. En dus niet van een opdracht aan een externe partij.

    Praktische hulpmiddelen

Alle antwoorden op mijn vragenVragen over de plichten van verwerkers en verwerkingsverantwoordelijken

  • Welke verantwoordelijkheden heb ik ten opzichte van mijn verwerker?

    Als verwerkingsverantwoordelijke blijft u ook verantwoordelijk voor de verwerkingen die u uitbesteedt. Uw klanten, patiënten, burgers etc. hebben hun persoonsgegevens immers met úw organisatie gedeeld. Het is dus logisch dat u hun persoonsgegevens niet zomaar met een willekeurige organisatie mag delen.

    Rol verwerkers

    Dat u verantwoordelijk blijft voor de verwerkingen die u uitbesteedt, wil niet zeggen dat verwerkers geen verantwoordelijkheden hebben. Ook zij vallen onder het toezicht van de AP.

    Zie ook: welke verantwoordelijkheden heb ik als verwerker?

    Specifieke eisen voor verwerkers

    Wilt u samenwerken met een verwerker? Dan moet u voldoen aan een aantal specifieke eisen van de Algemene verordening gegevensbescherming (AVG), waaronder:

    • U moet een betrouwbare verwerker kiezen die aan de regels van de AVG voldoet. U moet onder meer zorgen dat u voldoende zekerheid heeft dat de verwerker passende maatregelen treft om de persoonsgegevens te beveiligen.
    • Als verwerkingsverantwoordelijke moet u een verwerkersovereenkomst sluiten met uw verwerkers. In die overeenkomst maakt u onder meer afspraken over de precieze opdracht van de verwerking. En wat de verwerker wel en niet met de verstrekte persoonsgegevens mag doen.
    • Het is uw verantwoordelijkheid om ervoor te zorgen dat mensen hun privacyrechten kunnen uitoefenen. Ook al gaat het om verwerkingen die u heeft uitbesteed. In de verwerkersovereenkomst legt u de werkafspraken hierover vast met de verwerker.
    • Heeft uw verwerker een datalek met persoonsgegevens die hij in uw opdracht verwerkt? En gaat het om een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen? Dan is het uw verantwoordelijkheid om dat op tijd te melden. Een verwerker mag alleen datalekken bij de AP melden als u hem daarvoor heeft gemachtigd.
    • In ieder geval legt u in de verwerkersovereenkomst vast dat de verwerker u zo snel mogelijk op de hoogte stelt zodra hij een datalek ontdekt. Een verwerker is dat volgens de AVG ook verplicht.

    Overige AVG-regels

    Tenslotte moet u als verwerkingsverantwoordelijke natuurlijk ook aan alle andere regels van de AVG voldoen.

    Meer info:

  • Welke verantwoordelijkheden heb ik als verwerker?

    De Autoriteit Persoonsgegevens (AP) houdt ook toezicht op verwerkers. Ook ú heeft onder de Algemene verordening gegevensbescherming (AVG) een aantal specifieke verplichtingen, waaronder:

    • U moet zich volledig houden aan de instructies die u krijgt van de verwerkingsverantwoordelijke voor het verwerken van de persoonsgegevens. Tenzij deze instructies in strijd zijn met de wet. Volgt u de instructies van de andere organisatie niet? Dan beschouwt de AVG u als verwerkingsverantwoordelijke met bijbehorende verplichtingen.
    • Als verwerker moet u een verwerkersovereenkomst hebben. Met een verwerkersovereenkomst kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke.
    • U moet de persoonsgegevens passend beveiligen.
    • Als verwerker mag u alleen persoonsgegevens uitbesteden aan subverwerkers als u daarvoor schriftelijke toestemming van de verwerkingsverantwoordelijke heeft. De subverwerker moet minimaal hetzelfde niveau van gegevensbescherming bieden.
    • Heeft u een datalek met de persoonsgegevens die u in opdracht van een andere organisatie verwerkt? Dan is het uw plicht om de verwerkingsverantwoordelijke zo snel mogelijk te informeren. Deze heeft namelijk op zijn beurt weer de plicht om bepaalde datalekken binnen 72 uur te melden aan de AP. En soms is een verwerkersverantwoordelijke ook verplicht om de betrokken personen te informeren.
    • Als verwerker heeft u onder de AVG ook een verantwoordingsplicht. Afhankelijk van de grootte van uw organisatie moet u bijvoorbeeld een functionaris gegevensbescherming (FG) aanstellen. Of een verwerkingsregister bijhouden.

    Zie ook: welke verantwoordelijkheden heb ik ten opzichte van mijn verwerker?

  • Wie is er verantwoordelijk voor dat de verwerkersovereenkomst er komt?

    De Algemene verordening gegevensbescherming (AVG) eist van zowel verwerkingsverantwoordelijken als verwerkers dat er een verwerkersovereenkomst is. Beide partijen zijn dus aansprakelijk als zo’n overeenkomst ontbreekt.

    Wettelijke plicht

    U bent als verwerkingsverantwoordelijke in overtreding als u samenwerkt met een verwerker maar hierover geen schriftelijke afspraken heeft gemaakt. U kunt dan niet aantonen dat u voldoende waarborgen heeft dat die andere organisatie de persoonsgegevens volgens de regels van de AVG beschermt.

    Ook als verwerker bent u verplicht om een verwerkersovereenkomst te hebben. U kunt zich anders niet beroepen op de grondslag van de verantwoordelijke. U heeft dan geen enkel recht om die persoonsgegevens te verwerken.

    Wie neemt het initiatief?

    In de praktijk neemt de verwerkingsverantwoordelijke vaak het initiatief voor het opstellen van een verwerkersovereenkomst. Van deze partij komt immers ook het initiatief om een verwerking uit te besteden.  Maar het mag - en gebeurt - ook andersom.

    Als verwerkingsverantwoordelijke blijft u wel verantwoordelijk voor de verwerking. Ook als de verwerkersovereenkomst is opgesteld door de verwerker.

    Tip: is uw organisatie aangesloten bij een branchevereniging? Dan bieden zij wellicht een voorbeeldverwerkersovereenkomst. Ook online vindt u veel voorbeelden. Zorg er wel altijd voor dat u de overeenkomst vertaalt naar uw specifieke situatie. En leg hem naast de eisen van de AVG.

    Zie ook: waar moet ik op letten bij het opstellen van een verwerkersovereenkomst?

Alle antwoorden op mijn vragenVragen over de verwerkersovereenkomst

  • Wanneer moet ik een verwerkersovereenkomst afsluiten?

    Schakelt u een andere organisatie in om persoonsgegevens voor u te verwerken? Dan moet u met deze organisatie een verwerkersovereenkomst afsluiten. Maar alleen als u die organisatie de opdracht geeft persoonsgegevens te verwerken waarvoor u zelf verantwoordelijk bent. Met andere woorden: u bepaalt wat er moet gebeuren met de gegevens en hoe.

    Zie ook:

    Niet altijd verwerker

    Maar let op: verstrekking van persoonsgegevens aan een andere organisatie betekent niet automatisch dat deze andere organisatie uw verwerker is. Het kan ook zijn dat u allebei verwerkingsverantwoordelijke bent, ook al gaat het om dezelfde persoonsgegevens.

    Verwerkersovereenkomst

    Met een verwerkersovereenkomst sluit u als verwerkingsverantwoordelijke uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.

    U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de AVG.

    Zie verder

  • Wat moet er in een verwerkersovereenkomst staan?

    Maakt u gebruik van de diensten van een verwerker? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

    Zie ook: onze privacy-video over verwerkersovereenkomsten op hulpbijprivacy.nl

    U moet de volgende onderwerpen vastleggen:

    Algemene beschrijving

    Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.

    Instructies verwerking

    De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

    Geheimhoudingsplicht

    Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

    Beveiliging

    De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

    Subverwerkers

    De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

    In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

    Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

    Privacyrechten

    De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

    Andere verplichtingen

    De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

    Gegevens verwijderen

    Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

    Audits

    De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

    Zie ook: waar moet ik op letten bij het opstellen van een verwerkersovereenkomst?

  • Waar moet ik op letten bij het opstellen van een verwerkersovereenkomst?

    U mag in de verwerkersovereenkomst geen afspraken opnemen die in strijd zijn met de Algemene verordening gegevensbescherming (AVG). Doet u dat wel? Of gaat u akkoord met afspraken die in strijd zijn met de AVG? Dan bent u mogelijk in overtreding. De AVG staat boven de verwerkersovereenkomst.

    Zie ook: onze privacy-video over verwerkersovereenkomsten op hulpbijprivacy.nl

    Feitelijke situatie is leidend

    De organisatie die daadwerkelijk het doel en de middelen van de verwerking bepaalt, is volgens de AVG de verwerkingsverantwoordelijke. Ongeacht wat er in de verwerkersovereenkomst staat. Bij de beoordeling van een verwerking kijkt de Autoriteit Persoonsgegevens altijd naar de feitelijke situatie.

    Staat in de verwerkersovereenkomst bijvoorbeeld dat de andere partij verwerkingsverantwoordelijke is, maar bepaalt u waarvoor de persoonsgegevens verwerkt worden en de wijze waarop dat gebeurt? Dan bent u voor die verwerkingen verwerkingsverantwoordelijke. Ongeacht wat er in de in de overeenkomst staat. De feitelijke situatie is leidend.

    Onenigheid

    U kunt een organisatie natuurlijk niet dwingen om een overeenkomst te tekenen. Wordt u het samen niet eens over de inhoud? Dan kunt u ervoor kiezen om niet samen te werken. Wanneer u dat wel doet, maar geen verwerkersovereenkomst heeft, bent u beiden in overtreding.

    Zie ook: wat moet er in een verwerkersovereenkomst staan?

  • Moet ik als logistieke dienstverlener verwerkersovereenkomsten afsluiten met mijn opdrachtgevers?

    Nee. U bent namelijk geen verwerker, ook al werkt u als logistieke dienstverlener voor een opdrachtgever.

    U bent zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk zijn voor uw dienstverlening. Zoals namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor 'track & trace’-bezorging.

    Dat betekent dat u dus geen verwerkersovereenkomsten hoeft af te sluiten met uw opdrachtgevers.