Hoe bepaal ik of een derde partij verwerker is en of er een verwerkersovereenkomst moet worden afgesloten?

Het antwoord hierop is belangrijk omdat dit bepaalt wie (eind)verantwoordelijk is en of er een verwerkersovereenkomst gesloten moet worden. Daarvoor moeten twee rollen worden bepaald:

  • de verwerkingsverantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens moet gebeuren en hoe dat moet gebeuren;
  • de verwerker is de externe partij die de verwerking voor de verwerkingsverantwoordelijke uitvoert.

De verwerkingsverantwoordelijke bepaalt dus op welke manier de verwerker omgaat met de aan hem toevertrouwde persoonsgegevens en legt die afspraken vast in een verwerkersovereenkomst.

Onderwijsinstellingen zijn meestal de verwerkingsverantwoordelijke voor de persoonsgegevens van de studenten. Bij het uitvoeren van de werkzaamheden wordt veel gebruikgemaakt van externe partijen, zoals de leverancier van het SIS. Vaak zijn dat verwerkers, maar dat is niet altijd het geval.

Er zijn vier verschillende rolverdelingen, met elk een eigen vorm van overeenkomst:

  1. De externe partij werkt onder direct gezag en toezicht van de verantwoordelijke. In dat geval volstaat een geheimhoudingsverklaring (art. 29 AVG). Bijvoorbeeld een consultant die wel toegang heeft tot persoonsgegevens, maar waarbij het verwerken van de persoonsgegevens geen onderdeel van de opdracht is.
  2. De externe partij verwerkt persoonsgegevens in opdracht van de verantwoordelijke, deze bepaalt het doel en de middelen, maar de externe partij heeft bij de uitvoering van die opdracht een zekere vrijheid. In dat geval is er sprake van een verwerkersrelatie en moet er een verwerkersovereenkomst worden afgesloten (art. 28 AVG).
  3. De partijen bepalen samen doel en middelen van de verwerking. Er is sprake van een samenwerking en partijen zijn gezamenlijk verantwoordelijk. In dat geval moet een (samenwerkings)overeenkomst worden afgesloten waarbinnen de afspraken en verantwoordelijkheden m.b.t. de verwerkte persoonsgegevens worden vastgelegd (art 26 AVG). Dit geldt bijvoorbeeld regionale samenwerkingsverbanden. Voor samenwerkingscolleges is die gemeenschappelijke verantwoordelijkheid trouwens in de WEB geregeld.
  4. De verwerkingsverantwoordelijke verstrekt gegevens aan de externe partij, die deze gegevens vervolgens voor eigen doelen gebruikt. In dat geval is een uitwisselingsovereenkomst van toepassing. Bijvoorbeeld de busmaatschappij die in opdracht van de school studenten vervoert.

Zie ook de handreiking verwerkersovereenkomsten: wat, wie, hoe en wanneer? (MBO Raad)

Categorieën Verwerkersovereenkomsten
Reacties (0)
Geef een reactie