Eén van de lastigste dingen onder de AVG is wel het vaststellen van de rollen bij het verwerken van persoonsgegevens. De privacywetgeving maakt namelijk een onderscheid tussen de verwerkingsverantwoordelijke en de verwerker.
Hoewel het onderscheid vaak genoeg op eerste gezicht duidelijk is, zorgen de ontwikkeling en het gebruik van nieuwe ICT-producten en diensten voor nieuwe rollen en verantwoordelijkheden, waarbij het niet altijd duidelijk is wie de verantwoordelijke is, en wie eventueel een verwerker. Het vaststellen van je rol onder de AVG is echter wel van belang, nu veel van de verplichtingen enkel rusten op de verwerkingsverantwoordelijk.
Definities
Op grond van de AVG is de verwerkingsverantwoordelijke “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Een verwerker daarentegen is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
De verwerkingsverantwoordelijke is dus in eerste instantie de partij die besluit om persoonsgegevens voor eigen doeleinden te verwerken. Om te bepalen of een partij als verwerkingsverantwoordelijke kan worden aangemerkt, moet in eerste instantie een antwoord worden gevonden op de vragen “Waarom vindt deze verwerking plaats?” en “Wie heeft deze geïnitieerd?”.
Bij het beoordelen wie de verwerkingsverantwoordelijke is kan bijvoorbeeld plaatsvinden op basis van een uitdrukkelijke juridische bevoegdheid. Deze situatie doet zich voor wanneer een bepaalde bevoegdheid, taak of plicht die het verwerken van persoonsgegevens behelst expliciet is opgedragen aan de verwerkingsverantwoordelijke. Bijvoorbeeld de verwerking van persoonsgegevens door de Belastingdienst.
De verantwoordelijke kan daarnaast voortvloeien uit een impliciete bevoegdheid. Deze situatie doet zich voor wanneer er niet een expliciete bevoegdheid bestaat tot het verwerken van persoonsgegevens, maar op grond van de gangbare juridische regels en de maatstaven die gelden in het maatschappelijk verkeer de verwerkingsverantwoordelijkheid toekomt aan een specifieke natuurlijke of rechtspersoon. Denk hierbij bijvoorbeeld aan een werkgever die de gegevens van zijn medewerkers verwerkt of een vereniging die de gegevens van haar leden verwerkt.
De verantwoordelijkheid voor de verwerking kan tot slot worden bepaald aan de hand van de feitelijke invloed. In veel gevallen wordt hiervoor een beoordeling gemaakt van de contractuele verhoudingen tussen de verschillende betrokken partijen. Daarbij kan worden gekeken naar de verdeling verantwoordelijkheden in het contract. De bepalingen van een contract zijn echter niet doorslaggevend, omdat contractpartijen dan de verantwoordelijkheid naar eigen goeddunken zouden kunnen beleggen. Naast de bepalingen van een contract zijn ook andere feiten van belang om vast te stellen wie voor de verwerking verantwoordelijk is, bijvoorbeeld de mate van feitelijke zeggenschap van een partij, het beeld dat aan betrokkenen wordt geschetst en redelijke verwachtingen van betrokkenen op basis van deze zichtbaarheid. Andere praktische indicaties van verantwoordelijkheid van een partij zijn:
- · het bepalen welke gegevens worden verwerkt;
- · het bepalen van de bewaartermijnen;
- · zeggenschap over de toegang tot de gegevens;
- · zeggenschap over de informatie die wordt verstrekt aan de betrokkene;
- · zeggenschap over het verstrekken van gegevens aan derden en/of naar partijen in landen buiten de EU.
De verwerkingsverantwoordelijke is dus degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, terwijl de verwerker degene is die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De dienstverlening van de verwerker moet gericht zijn op het uitvoeren van een bepaalde verwerking van persoonsgegevens ten behoeve van de opdrachtgever. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk.
Wanneer een opdrachtnemer invloed heeft op het doel en gegevens (ook) voor eigen doeleinden kan verwerken, bijvoorbeeld door de ontvangen persoonsgegevens te gebruiken voor productverbetering, dan zou hij verantwoordelijk voor een andere verwerking zijn en zouden alle verplichtingen van de AVG voor hem gelden.
Voorbeelden uit de praktijk
Uiteraard heeft de Autoriteit Persoonsgegevens (“AP”) meerdere malen de privacyrechtelijke rol van partijen moeten beoordelen.
Snappet
In 2014 heeft de AP een onderzoek gepubliceerd naar de verwerking van persoonsgegevens door Snappet. Snappet verhuurt tablets aan basisscholen, met ingebouwde onderwijssoftware (apps). De tablets zijn gericht op kinderen in groep 4 tot en met 6, in de leeftijd van 7 tot 9 jaar. Op de Snappet-tablets kunnen kinderen lees- en oefenstof doen voor vakken als taal, spelling, rekenen en lezen.
Volgens Snappet is zij een verwerker en zijn de scholen de verantwoordelijken, maar de AP denkt daar anders over. Op grond van de feitelijke omstandigheden heeft de AP vastgesteld dat Snappet zoveel zeggenschap heeft over deze doeleinden van de gegevensverwerking dat zij niet als verwerker kan worden aangemerkt. Door het ontbreken van een specifieke schriftelijke opdracht (van het merendeel van de scholen), dient als uitgangspunt te gelden dat Snappet de verantwoordelijke is voor de gegevensverwerkingen. Daar komt bij dat Snappet ook een eigen zakelijk belang heeft bij deze gegevensverwerking, te weten om aanvullende of alternatieve modules aan te kunnen bevelen.
Bluetrace
Een jaar later, in 2015, heeft de AP een onderzoek gepubliceerd naar Bluetrace, een bedrijf dat technologie voor wifi-tracking levert en installeert in en rondom winkels in Nederland. Ook in deze zaak oordeelt de AP dat Bluetrace zich ten onrechte heeft aangemerkt als verwerker:
Bij Bluetrace is sprake van een relatie tussen opdrachtgever en opdrachtnemer. De klanten van Bluetrace huren het bedrijf in om voor hen een wifi-trackingsysteem op te zetten en daaraan gerelateerde diensten te leveren. De dienstverlening van Bluetrace bestaat daarmee niet primair uit het verwerken van gegevens. De verwerking van gegevens is een uitvloeisel van de dienst waarvoor het bedrijf ingehuurd wordt door klanten, namelijk het installeren van wifi-trackingsystemen in en rond winkels, het genereren van meetgegevens en het analyseren, beheren en opslaan daarvan. […] Volgens de memorie van toelichting op de Wbp is de omstandigheid dat de gegevensverwerking meer een uitvloeisel van de dienstverlening is dan een primaire activiteit, een indicatie dat er geen sprake is van bewerkerschap in de zin van de Wbp.
Bluetrace bepaalt wezenlijke aspecten van de gegevensverwerking bij wifi-tracking. Het feit dat er in deze zaak sprake is van een opdrachtgever-opdrachtnemerrelatie lijkt erop te wijzen dat de verantwoordelijkheid voor dataverwerking ligt bij de opdrachtgevende partij die het initiatief neemt. Maar omdat Bluetrace zelf bepaalt welke soort gegevens het bedrijf verwerkt, hoe lang en met welke technische middelen, ligt de verantwoordelijkheid primair bij Bluetrace. Bluetrace heeft bovendien het feitelijk beheer over alle opgeslagen gegevens uit de trackingactiviteiten en de zeggenschap over eventueel te hanteren bewaartermijnen. Bluetrace verwerkt meetgegevens met als doel het leveren van bedrijfseconomische data aan de klant. Dit is een eigen doel, bepaald door Bluetrace, waarmee het bedrijf een dienst met toegevoegde waarde levert aan zijn klanten. Zonder de data-analyse zou Bluetrace slechts ruwe meetgegevens kunnen overleggen aan de klant en is er nauwelijks sprake van bedrijfseconomische informatie. Hieraan doet niet af dat het bedrijf daarmee opdrachtgevers van dienst wil zijn. De opdrachtgever bepaalt vervolgens op welke manier de door Bluetrace geleverde bedrijfseconomische informatie wordt toegepast in het bedrijf. Tot slot is van belang dat Bluetrace zelfstandig besluiten heeft genomen over het wel of niet verstrekken van gegevens aan derden en/of opsporingsdiensten.
Uber
Eind 2018 heeft de AP Uber B.V. (NL) en Uber Technologies Inc (VS) een boete van 600.000 euro op voor het overtreden van de meldplicht datalekken. In een verwerkersovereenkomst waren Uber NL en Uber VS overeengekomen dat Uber NL verantwoordelijke is voor de verwerking van persoonsgegevens die zij verzamelt en verwerkt van betrokkenen buiten de VS en dat Uber VS ten behoeve van Uber NL als verwerker optreedt.
Ingeval van concernverhoudingen wordt de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt als de verantwoordelijke gezien. In dit geval stelt de AP vast dat het privacybeleid en het informatiebeveiligingsbeleid (mede) is opgesteld door Uber VS. Daarnaast worden back-ups gemaakt die worden opgeslagen in de Verenigde staten en is Uber VS die met Amazon een overeenkomst is aangegaan voor de opslag van back-ups. Tot slot geldt dat de Uber app door Uber VS is ontwikkeld en wordt de app ook door Uber VS aangeboden. De AP oordeelt daarom dat Uber NL en Uber VS als gezamenlijk verantwoordelijken zijn aan te merken. De verwerkersovereenkomst is dus niet doorslaggevend.
Slot
De betekenis van de begrippen verwerkingsverantwoordelijke en verwerker is met de komst van de AVG ongewijzigd gebleven. Jammer, want de AVG was bij uitstek de mogelijkheid geweest om meer duidelijkheid te verschaffen op dit punt. Al met al is het op basis van het bovenstaande wel van belang dat de puzzel wordt gelegd, zodat partijen hun wettelijke plichten kunnen identificeren.