De Privacy Consultant
Meesters in het privacyrecht

De Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is degene die uiteindelijk verantwoordelijk is voor de verwerking van de persoonsgegevens. Het begrip verwerkingsverantwoordelijke dient ruim te worden uitgelegd, omdat de doelstelling een doeltreffende en volledige bescherming van de betrokkenen te verzekeren behelst.1 Degene die persoonsgegevens verwerkt wordt derhalve als verwerkingsverantwoordelijke aangemerkt, tenzij deze aantoont dat dit niet het geval is.2

Juridische bevoegdheid

Om te bepalen wie als verwerkingsverantwoordelijke moet worden aangemerkt, wordt eerst gekeken naar de vraag wie juridisch bevoegd is om het doel van de gegevensverwerking vast te stellen.3 Het vaststellen van de middelen voor de verwerking kan immers door de verwerkingsverantwoordelijke worden gedelegeerd, voor wat betreft technische of organisatorische aspecten. De formele bevoegdheden dienen het aanknopingspunt te zijn in plaats van de feitelijke machtsverhouding, omdat deze laatste voor de betrokkene minder transparant zijn. In het geval er bijvoorbeeld sprake is van een concern, kan op grond van interne reglementen en verklaringen worden bepaald welke rechtspersoon binnen het concern als verantwoordelijk wordt aangewezen.4

Het kan echter voorkomen dat in een concreet geval niet duidelijk is wie bevoegd is om het doel van de verwerking vast te stellen. Er kunnen immers meerdere personen of instantie bij de verwerking betrokken zijn. In dergelijke gevallen dient aan de hand van algemeen in het maatschappelijk verkeer aanvaarde maatstaven te worden bezien aan wie een bepaalde gegevensverwerking moet worden toegerekend.5 Wordt bijvoorbeeld een website door de verwerkingsverantwoordelijke verkocht, maar blijft het toevoegen en wijzigen van gegevens op deze website nog steeds in de macht van deze, dan wordt de verkoper nog steeds aangemerkt als verwerkingsverantwoordelijke.6

In het geval de formele bevoegdheden botsen met de feitelijke benadering, zal moeten worden beoordeeld of de feitelijke benadering dusdanig afwijkt dat deze zwaarder moet wegen dan de formele bevoegdheden. Om te bepalen wie als verwerkingsverantwoordelijke moet worden aangemerkt, dient immers te worden bepaalt wie het doel "vaststelt" en niet wie het doel "rechtmatig vaststelt".7 Het is niet relevant of het besluit om gegevens te verwerken rechtmatig was in de zin dat de entiteit die een dergelijk besluit nam daartoe juridisch bevoegd was.

Naast de vraag wie het doel vaststelt, dient voorts te worden bepaald hoeveel gewicht moet worden toegekend aan de vrijheid van handelen bij het vaststellen van doelen en aan de manoeuvreerruimte bij het nemen van beslissingen.8 Oftewel, onder wiens bevoegdheid vindt de operationele gegevensverwerking plaats. Wie bepaalt bijvoorbeeld de bewaartermijnen en of een inzage- en verwijderverzoeken moeten worden ingewilligd en met wie sluit de betrokkene de overeenkomst tot het verwerken van zijn gegevens?

Gezamenlijke verwerkingsverantwoordelijke

Naast een enkele verwerkingsverantwoordelijke, kan er sprake zijn van gezamenlijke verantwoordelijkheid (schematisch weergegeven in afbeelding 1).9 Dit kan bijvoorbeeld het geval zijn bij bedrijven die andere bedrijven ondersteunen met recruitment. In het geval bedrijf A door bedrijf B wordt ondersteund in het zoeken naar nieuw personeel, waarbij bedrijf B een eigen database heeft van werkzoekenden, kan bedrijf B samen met bedrijf A worden aangemerkt als verwerkingsverantwoordelijke. Bedrijf B handelt dan wel volgens de overeenkomst namens bedrijf A, maar verwerkt ook gegevens van werkzoekenden die niet bij bedrijf A solliciteren maar zich slechts bij bedrijf B hebben ingeschreven. Bedrijf B wordt derhalve aangemerkt als verwerkingsverantwoordelijke voor alle gegevens die zij verzamelen. Zij wordt voorts aangemerkt als verwerker voor de gegevens die zij verwerken namens bedrijf A.10 Afbeelding 1.

Het bestaan van een gezamenlijke verantwoordelijkheid betekent echter niet dat er sprake is van een gelijkwaardige verantwoordelijkheid van de verwerkingsverantwoordelijken bij de verwerking van persoonsgegevens. Zij kunnen immers juist in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval.11 Dit betekent dat, ook al verkrijgt de ene verwerkingsverantwoordelijke wellicht geen persoonsgegevens, zij nog steeds als verwerkingsverantwoordelijke kunnen worden aangemerkt. Onderzocht dient te worden wie in eerste instantie de verwerking van persoonsgegevens initieert. De initiator kan gebruik maken van hulpmiddelen bij deze verwerking. In het geval van een fanpagina op Facebook, wordt degene die de fanpagina aanmaakt aangemerkt als medeverantwoordelijke, naast Facebook zelf. Het is echter de beheerder van de fanpagina die als doel heeft statistieken van zijn bezoekers bij te houden, ook al zijn deze gegevens geanonimiseerd.12 Deze anonieme statistieken zijn immers gebaseerd op de voorafgaande verkrijging van gegevens van bezoekers van Facebook.

Gezamenlijke verantwoordelijkheid moet echter niet worden verward met afzonderlijke verantwoordelijkheid. Bij het opvragen van het burgerservicenummer via de SBV-Z dienst door organisatie A, verwerken organisatie A en SBV-Z weliswaar dezelfde gegevens, maar zullen de twee entiteiten als twee afzonderlijke voor de verwerking verwerkingsverantwoordelijken worden aangemerkt, omdat er in onvoldoende mate sprake is van een gezamenlijk doel of gezamenlijke middelen voor deze gegevensverwerking.13

Een praktisch voorbeeld is de zorginstelling die de volledige medische zorg heeft uitbesteed aan een maatschap. De zorginstelling zelf levert slechts de niet-medische zorg, zoals het wassen van patiënten door verpleegkundigen. De maatschap zal veelal een eigen patiëntendossier beheren. Dit gegeven is echter niet van belang voor de vraag of de maatschap als verwerkingsverantwoordelijke of verwerker moet worden aangemerkt. Ook verwerkers kunnen immers software gebruiken die zij in eigen beheer hebben, maar dit betekent niet dat zij automatisch als verwerkingsverantwoordelijke worden aangemerkt. Gekeken dient te worden naar de aard van hun werkzaamheden en de aard van de relatie tussen de maatschap en de zorginstelling.

In het geval de zorginstelling de medische zorg volledig uit handen geeft aan de maatschap, bepaalt de maatschap het doel van de verwerking. Zij bepalen in dat geval op welke wijze de medische zorg moet worden gegeven en hebben daarin de vrijheid. Is de maatschap slechts aanwezig ter ondersteuning van de artsen in de zorginstelling, dan bepalen zij echter niet het doel. In dat geval worden zij geacht de procedures en richtlijnen van de zorginstelling op te volgen. In het geval dat de medische zorg volledig is uitbesteed aan de maatschap, zal de maatschap worden aangemerkt als verwerkingsverantwoordelijke.14

In het geval de maatschap het dossier bijhoudt in het systeem van de zorginstelling, faciliteert de zorginstelling slechts het medisch dossier. Dientengevolge kan de zorginstelling voor de medische zorg worden aangemerkt als verwerker. Voor het verlenen van niet-medische zorg, zoals het laten wassen en verschonen door een verpleegkundige, wordt de zorginstelling aangemerkt als verwerkingsverantwoordelijke. De zorginstelling heeft in dit voorbeeld een dualistische rol, namelijk als verwerkingsverantwoordelijke en als verwerker. Het kan echter gecompliceerd worden wanneer de gegevens die door de verpleegkundigen worden verzameld tijdens het verzorgen van de patiënten worden bijgehouden in hetzelfde systeem als waar het medische dossier wordt bijgehouden.'

 
Neem vrijblijvend contact op
Wilt u meer weten of u als verwerkingsverantwoordelijke wordt aangemerkt of heeft u andere vragen over de verwerkingsverantwoordelijke en verwerker? Neem dan vrijblijvend contact met ons op.

Voetnoten

  1. HvJ EU 13 mei 2014, C-131/12 (Google Spain), r.o. 34.
  2. Rechtbank Oost-Brabant, 31 januari 2013, ECLI:NL:RBOBR:2013:BZ2126, JBP 2014/35, r.o. 4.4.
  3. Kamerstukken II 1997/98, 25892, nr. 3, p. 16.
  4. Rechtbank Utrecht 21 maart 2012, ECLI:NL:RBUTR:2012:BW1070, r.o. 4.3.
  5. Kamerstukken II 1997/98, 25892, nr. 3, p. 56 - 57; Rechtbank Amsterdam 28 mei 2015, ECLI:NL:RBAMS:2015:3659, r.o. 2.7.
  6. Rechtbank Rotterdam, 24 maart 2009, ECLI:NL:RBROT:2009:BH7631, r.o. 4.4.
  7. WP 29, advies 1/2010, p. 11.
  8. WP 29, advies 1/2010, p. 15 - 16.
  9. Kamerstukken II 1997/98, 25892, nr. 3, p. 55.
  10. WP 29, advies 1/2010, p. 22.
  11. HvJ EU 5 juni 2018, C-210/16 (Datenschutz Schleswig-Holstein), r.o. 43.
  12. HvJ EU 5 juni 2018, C-210/16 (Datenschutz Schleswig-Holstein), r.o. 37.
  13. WP 29, advies 1/2010, p. 24.
  14. WP 29, advies 1/2010, p. 22.