Eén van de lastigste dingen onder de AVG is wel het vaststellen van de rollen bij het verwerken van persoonsgegevens. De privacywetgeving maakt namelijk een onderscheid tussen de verwerkingsverantwoordelijke en de verwerker.

Hoewel het onderscheid vaak genoeg op eerste gezicht duidelijk is, zorgen de ontwikkeling en het gebruik van nieuwe ICT-producten en diensten voor nieuwe rollen en verantwoordelijkheden, waarbij het niet altijd duidelijk is wie de verantwoordelijke is, en wie eventueel een verwerker. Het vaststellen van je rol onder de AVG is echter wel van belang, nu veel van de verplichtingen enkel rusten op de verwerkingsverantwoordelijk.

Definities

Op grond van de AVG is de verwerkingsverantwoordelijke “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Een verwerker daarentegen is degene die  ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

De verwerkingsverantwoordelijke is dus in eerste instantie de partij die besluit om persoonsgegevens voor eigen doeleinden te verwerken. Om te bepalen of een partij als verwerkingsverantwoordelijke kan worden aangemerkt, moet in eerste instantie een antwoord worden gevonden op de vragen “Waarom vindt deze verwerking plaats?” en “Wie heeft deze geïnitieerd?”.

Bij het beoordelen wie de verwerkingsverantwoordelijke is kan bijvoorbeeld plaatsvinden op basis van een uitdrukkelijke juridische bevoegdheid. Deze situatie doet zich voor wanneer een bepaalde bevoegdheid, taak of plicht die het verwerken van persoonsgegevens behelst expliciet is opgedragen aan de verwerkingsverantwoordelijke. Bijvoorbeeld de verwerking van persoonsgegevens door de Belastingdienst.

De verantwoordelijke kan daarnaast voortvloeien uit een impliciete bevoegdheid. Deze situatie doet zich voor wanneer er niet een expliciete bevoegdheid bestaat tot het verwerken van persoonsgegevens, maar op grond van de gangbare juridische regels en de maatstaven die gelden in het maatschappelijk verkeer de verwerkingsverantwoordelijkheid toekomt aan een specifieke natuurlijke of rechtspersoon. Denk hierbij bijvoorbeeld aan een werkgever die de gegevens van zijn medewerkers verwerkt of een vereniging die de gegevens van haar leden verwerkt.

De verantwoordelijkheid voor de verwerking kan tot slot worden bepaald aan de hand van de feitelijke invloed. In veel gevallen wordt hiervoor een beoordeling gemaakt van de contractuele verhoudingen tussen de verschillende betrokken partijen. Daarbij kan worden gekeken naar de verdeling verantwoordelijkheden in het contract. De bepalingen van een contract zijn echter niet doorslaggevend, omdat contractpartijen dan de verantwoordelijkheid naar eigen goeddunken zouden kunnen beleggen. Naast de bepalingen van een contract zijn ook andere feiten van belang om vast te stellen wie voor de verwerking verantwoordelijk is, bijvoorbeeld de mate van feitelijke zeggenschap van een partij, het beeld dat aan betrokkenen wordt geschetst en redelijke verwachtingen van betrokkenen op basis van deze zichtbaarheid. Andere praktische indicaties van verantwoordelijkheid van een partij zijn:

• ·         het bepalen welke gegevens worden verwerkt;
• ·         het bepalen van de bewaartermijnen;
• ·         zeggenschap over de toegang tot de gegevens;
• ·         zeggenschap over de informatie die wordt verstrekt aan de betrokkene;
• ·         zeggenschap over het verstrekken van gegevens aan derden en/of naar partijen in landen buiten de EU.

De verwerkingsverantwoordelijke is dus degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, terwijl de verwerker degene is die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De dienstverlening van de verwerker moet gericht zijn op het uitvoeren van een bepaalde verwerking van persoonsgegevens ten behoeve van de opdrachtgever. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk.

Wanneer een opdrachtnemer invloed heeft op het doel en gegevens (ook) voor eigen doeleinden kan verwerken, bijvoorbeeld door de ontvangen persoonsgegevens te gebruiken voor productverbetering, dan zou hij verantwoordelijk voor een andere verwerking zijn en zouden alle verplichtingen van de AVG voor hem gelden.