Zoek
Sluit dit zoekvak.

AVG verwerker of verwerkingsverantwoordelijke

Weet je niet zeker of jouw organisatie een verwerker of verwerkingsverantwoordelijke is? Lees dan even verder.

Verwerker of verwerkingsverantwoordelijke: wie doet wat?

Bedrijven schakelen vaak andere partijen in om persoonsgegevens voor hen te verwerken. Denk bijvoorbeeld aan het uitbesteden van de boekhouding of het gebruik van een SaaS-oplossing. De partij die deze taken uitvoert, heet een verwerker. De organisatie die de verwerker inschakelt, noemen we de verwerkingsverantwoordelijke. Lijkt simpel, toch?

De praktijk is vaak een stuk ingewikkelder. Zo hebben zelfs onze privacy-juristen regelmatig discussies over de juiste rolverdeling. Is de softwareleverancier die klantgegevens beheert nu een verwerker, of toch een verwerkingsverantwoordelijke? Dit onderscheid is cruciaal, omdat het bepaalt wie waarvoor verantwoordelijk is onder de AVG.

AVG: wanneer ben ik verwerker?

Je bent een verwerker als je persoonsgegevens verwerkt in opdracht van een andere organisatie. Je doet dit niet voor jezelf, maar puur om de ander te helpen. Denk bijvoorbeeld aan een boekhouder die de salarisadministratie van een bedrijf verzorgt, of een IT-bedrijf dat klantdata opslaat in de cloud. Jij voert alleen uit wat de opdrachtgever vraagt en gebruikt de gegevens niet voor je eigen doeleinden.

Maar wat als je diezelfde gegevens ook voor je eigen doeleinden gebruikt? Of als je zonder toestemming van de opdrachtgever persoonsgegevens verwerkt? In dat geval ben je zelf de verwerkingsverantwoordelijke en moet je aan alle eisen van de AVG voldoen die voor verwerkingsverantwoordelijken gelden. Dit betekent dat jij bepaalt waarom en hoe de gegevens worden verwerkt.

Een belangrijk punt: als verwerker moet je de instructies van de verwerkingsverantwoordelijke strikt volgen. Dit betekent trouwens niet dat je volledig onder hun gezag staat zoals bij een detacheringsopdracht. Bij detachering werk je onder rechtstreeks gezag, is er sprake van intern beheer, en dat is iets anders dan een opdracht aan een externe partij.

AVG: wanneer ben ik verwerkingsverantwoordelijke?

Je bent een verwerkingsverantwoordelijke als jij bepaalt waarom en hoe persoonsgegevens worden verwerkt. Met andere woorden, jij beslist wat er met de gegevens gebeurt en voor welk doel ze worden gebruikt. Stel, je hebt een webwinkel en je verzamelt klantgegevens om bestellingen te verwerken en marketingmails te sturen. Jij bepaalt dan het doel en de middelen van de gegevensverwerking en bent dus de verwerkingsverantwoordelijke.

Als verwerkingsverantwoordelijke draag je de verantwoordelijkheid voor de naleving van de AVG. Dit betekent dat je moet zorgen voor de bescherming van persoonsgegevens, transparant moet zijn over de verwerking, en ervoor moet zorgen dat de gegevens alleen worden gebruikt voor legitieme doeleinden. Jij moet ook de rechten van de betrokkenen respecteren, zoals het recht op inzage, correctie, en verwijdering van hun gegevens.

Een concreet voorbeeld: je huurt een marketingbureau in om een campagne te voeren. Jij bepaalt welke klantgegevens worden gebruikt en voor welke doeleinden. Het marketingbureau verwerkt de gegevens volgens jouw instructies en is daarmee de verwerker. Maar omdat jij beslist wat er met de gegevens gebeurt, ben jij de verwerkingsverantwoordelijke.

Kortom, ben jij degene die bepaalt waarom en hoe persoonsgegevens worden verwerkt? Dan ben jij de verwerkingsverantwoordelijke. Zorg ervoor dat je aan alle verplichtingen van de AVG voldoet, zodat de gegevens van je klanten goed beschermd zijn en je juridisch in orde bent.

Rolverdeling verwerker en verwerkingsverantwoordelijke

Het is belangrijk om de rolverdeling tussen de verwerker en verwerkingsverantwoordelijke goed vast te leggen (dit ben je overigens ook verplicht). De verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens worden verwerkt en mag alleen samenwerken met verwerkers die voldoende garanties bieden om te voldoen aan de AVG. Denk hierbij aan technische deskundigheid, betrouwbaarheid, en eventuele certificeringen.

De samenwerking moet ook schriftelijk worden vastgelegd in een verwerkersovereenkomst. Hierin staat hoe de verwerker met de persoonsgegevens omgaat, welke beveiligingsmaatregelen worden genomen, en hoe aan de AVG-vereisten wordt voldaan. Deze overeenkomst moet specifiek en concreet zijn, met duidelijke afspraken over het doel, de duur van de verwerking, en de rechten en plichten van beide partijen.

Een goede verwerkersovereenkomst zorgt ervoor dat beide partijen weten waar ze aan toe zijn en dat persoonsgegevens veilig en volgens de wet worden verwerkt. Dit voorkomt niet alleen juridische problemen, maar zorgt ook voor een transparante en betrouwbare samenwerking.

Wie is verantwoordelijk voor het uitvoeren van een DPIA: verwerker of verwerkingsverantwoordelijke?

Onder de AVG is de verwerkingsverantwoordelijke verantwoordelijk voor het uitvoeren van een Data Protection Impact Assessment (DPIA). Een DPIA is bedoeld om privacyrisico’s van gegevensverwerking in kaart te brengen en te beoordelen voordat de verwerking begint. Het is een belangrijk instrument om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving en om de rechten en vrijheden van betrokkenen te beschermen. De verwerker kan echter wel assisteren bij het uitvoeren van de DPIA, aangezien zij natuurlijk vaak over de technische expertise beschikken om de impact van de gegevensverwerking te analyseren.

Privacy audit laten uitvoeren door onze privacy-juristen

Twijfel je nog of je een verwerker of verwerkingsverantwoordelijke bent? Onze juristen zijn gespecialiseerd in het privacyrecht en helpen je graag verder. Neem gerust contact met ons op. 

Picture of mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).