Niet alleen grote bedrijven, maar ook zelfstandigen moeten rekening houden met de AVG wanneer zij persoonsgegevens verwerken (denk daarbij aan het opslaan, gebruiken of verwijderen van persoonsgegevens). Desondanks blijkt uit de praktijk dat veel bedrijven nog niet voldoen aan de AVG en de UAVG. Een van de redenen hiervoor is de verwarring omtrent diverse begrippen uit de verordening. Zo wordt er in de verordening een onderscheid gemaakt tussen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Op beide rollen rusten verschillende verplichtingen. Zowel de verantwoordelijke als de verwerker zijn verantwoordelijk voor het maken van schriftelijke afspraken. Dergelijke afspraken worden in de praktijk veelal vastgelegd in een zogeheten verwerkersovereenkomst. De hamvraag is natuurlijk: wie is de verwerkingsverantwoordelijke en wie is de verwerker? Hoewel het verschil tussen beide rollen op het eerste gezicht relatief duidelijk lijkt te zijn, blijkt het onderscheid in de praktijk nog niet zo eenvoudig. Hoe zit het bijvoorbeeld met de door jou ingeschakelde zzp’er die best wat persoonsgegevens onder ogen krijgt? Is dat nou automatisch een verwerker? In de praktijk zien we dat er te pas en te onpas verwerkersovereenkomsten worden gesloten met ingeschakelde zzp’ers. In deze blog bekijken we in hoeverre een dergelijke overeenkomst noodzakelijk is.
Wie is de verwerkingsverantwoordelijke?
Een verwerkingsverantwoordelijke is een natuurlijk persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan, etc.) die alleen of tezamen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking, is het van belang om te onderzoeken waarom de verwerking plaatsvindt en wie het initiatief daartoe heeft genomen. Bepaal jij (i) welke gegevens worden verzameld, (ii) voor welk doel dit gebeurt, en (iii) met welke middelen de verwerking geschiedt? Dan ben jij in principe de verwerkingsverantwoordelijke.
Wie is de verwerker?
Verwerkingsverantwoordelijken schakelen regelmatig personen of organisaties in die voor hen persoonsgegevens verwerken. Een (rechts-)persoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, is volgens artikel 4 lid 8 van de AVG een verwerker. Als verwerker verwerk je dus de persoonsgegevens voor de verantwoordelijke, zonder dat de verwerker daarbij zelf invloed uitoefent op het vaststellen van het doel en / of de middelen van de verwerking. Het ministerie van Justitie en Veiligheid heeft in deze handleiding bovendien verduidelijkt dat er alleen sprake is van verwerkerschap indien de verwerker niet aan het rechtstreeks gezag van de verantwoordelijke is onderworpen.
De verwerking van persoonsgegevens moet aldus de primaire opdracht zijn. Een voorbeeld hiervan is een aanbieder van gegevensopslag in de cloud. Wanneer deze dienst uitsluitend ziet op het opslaan van gegevens, dan is de cloud-aanbieder een verwerker. Een verwerker heeft geen zeggenschap over de verwerkingen. Hij mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies.
Zoals reeds besproken mag de verwerker ook niet aan het rechtstreeks gezag van de verwerkingsverantwoordelijke onderworpen zijn. Wanneer iemand ondergeschikt is aan de verwerkingsverantwoordelijke of er anderszins sprake is van een hiërarchische verhouding, is diegene in principe géén verwerker. In Nederland wordt deze gezagsverhouding ook wel intern beheer genoemd.
De ingeschakelde zzp’er als verwerker
Bij het antwoord op de vraag of een ingeschakelde zzp’er aangemerkt kan worden als verwerker, is vooral het eerder besproken ‘rechtstreeks gezag’ criterium van belang. Wanneer een zzp’er werkt onder de instructies van zijn opdrachtgever, is hij in principe aan het rechtstreekse gezag van de opdrachtgever onderworpen. Indien de zzp’er ook nog eens binnen de beveiligde (online) omgeving van zijn of haar opdrachtgever werkt, zal er al snel sprake zijn van intern beheer. Een verwerkersovereenkomst is dan niet nodig. Uiteraard raden wij het alsnog aan om heldere afspraken te maken. Zo is het een goed idee om in de overeenkomst van opdracht aandacht te besteden aan de geheimhouding van de gegevens die jouw zzp’er onder ogen krijgt.
Auteur(s): Spaans&Spaans en Maaike Meeuwsen.
Opstellen verwerkersovereenkomst zzp’er
Is er geen sprake van ‘rechtstreeks gezag’ en heb je dus wel een verwerkersovereenkomst met jouw zzp’er nodig? Neem dan gerust even contact met ons op.