Wat is een verantwoordelijke en een bewerker van persoonsgegevens (WBP)?

Een organisatie die initiatief neemt om persoonsgegevens te verwerken is verantwoordelijk voor deze gegevens en moet aan een aantal wettelijke verplichtingen voldoen.Omdat bijna iedere organisatie persoonsgegevens verwerkt, denk bijvoorbeeld aan de personeelsadministratie of klantenbestanden, zijn veel organisaties in meer of mindere mate verantwoordelijke in de zin van de WBP. In dit artikel wordt uitgelegd over de rol en plichten van de verantwoordelijke.

De verwerking van persoonsgegevens wordt vaak (gedeeltelijk) uitbesteed aan derde organisaties. Dat gebeurt als een bedrijfsproces zoals de personeelsadministratie of incasso’s worden uitbesteed. Maar ook als een organisatie in de cloud gaat werken besteed zij een verwerking (opslag) van persoonsgegevens uit. Een ander bekend voorbeeld is het gebruik van Google Analytics om bezoekersgegevens websites te verzamelen. Een organisatie die gegevens ten behoeve van een andere organisatie verwerkt is een bewerker In dit artikel wordt ingegaan op de begrippen verantwoordelijke en bewerker.

In dit artikel worden de volgende onderwerpen behandeld.

De verantwoordelijke
De bewerker
De plichten van de verantwoordelijke

De verantwoordelijke.

Een verwerking van persoonsgegevens vindt plaats op initiatief van de verantwoordelijke. De verantwoordelijke kan een rechtspersoon of een natuurlijk persoon zijn. Als bijvoorbeeld een webwinkel adresgegevens van haar klanten verzamelt dan is de eigenaar van die webwinkel de verantwoordelijke. Is de webwinkel een vennootschap dan is de vennootschap verantwoordelijke. De verantwoordelijke bepaalt het doel en de middelen van de verwerking.

De term verantwoordelijke is overigens niet per toeval gekozen. De verantwoordelijke is namelijk verantwoordelijk voor de gehele verwerking van persoonsgegevens, ook als derde partijen (bewerkers) aan die verwerking deelnemen. Dit heeft de wetgever gedaan om te voorkomen dat diverse partijen zich achter elkaar gaan verschuilen en op die manier onder hun verantwoordelijkheid uit proberen te komen.

Het kan voorkomen dat er meerdere verantwoordelijken zijn. Bijvoorbeeld in grote organisaties die opgedeeld zijn in verschillende rechtspersonen. Ondersteunende functies zoals administratie en HR worden dan vaak ondergebracht in een administratiestichting. De diverse businessunits zijn dan ook weer aparte rechtspersonen.  De gegevens van het personeel worden in dat geval door verschillende rechtspersonen gebruikt. Als er meerdere verantwoordelijken moet één (hoofd-) verantwoordelijke aangewezen worden.

De bewerker.

Een verantwoordelijke kan de verwerking van persoonsgegevens uitbesteden aan een derde partij. Een goed voorbeeld daarvan is Google Analytics, software waarmee bezoekersgegevens van een website worden verzameld. Google verzamelt met haar Analytics-software persoonsgegevens van de bezoeker en verwerkt deze op haar eigen servers. De eigenaar van de website krijgt vervolgens een bezoekersrapport aangeboden. De eigenaar van de website kan zijn website optimaliseren op basis van deze gegevens. Google verwerkt dan dus persoonsgegevens van bezoekers ten behoeve van de eigenaar van de website. Doordat organisaties steeds meer nevenactiviteiten zoals: personeelsadministratie, klantenservice of ICT, outsourcen neemt het aantal bewerkers natuurlijk toe de laatste jaren.

De bewerker verwerkt de persoonsgegevens slechts ten behoeve van de verantwoordelijke. Dat wil zeggen overeenkomstig diens instructies en onder diens uitdrukkelijke verantwoordelijkheid. Gaat de bewerker verder dan de uitdrukkelijke instructies van de verantwoordelijke of verwerkt hij gegevens voor zijn eigen doeleinden dan is hij geen bewerker maar een mede-verantwoordelijke. Google is in ons voorbeeld een bewerker van bezoekersgegevens. Echter zodra Google de bezoekersgegevens voor haar eigen doeleinden gebruikt (om profielen van de gebruikers te maken), is zij geen bewerker maar een mede-verantwoordelijke.

De bewerker mag de verwerking van persoonsgegevens weer uitbesteden aan een subbewerker. Echter, alleen als de verantwoordelijke hiervoor uitdrukkelijk toestemming geeft.

De plichten van de verantwoordelijke.

Zoals hiervoor omschreven is de verantwoordelijke verantwoordelijk voor de verwerking van persoonsgegevens. Ook als hij deze gegevens laat verwerken door een derde. De wet kent echter nog een aantal andere verplichtingen aan de verantwoordelijke toe.

Informatieplicht (art. 33 en 34 Wbp.).

Art. 33 en 34 Wbp bepalen dat de verantwoordelijke verplicht is de betrokkene (=de persoon waarvan de gegevens worden verwerkt) te informeren over de verwerking van gegevens, het doel van die verwerking en eventuele bewerkers. Deze informatie moet gegeven worden vóór de daadwerkelijke verwerking plaatsvindt. Als de betrokkene weet dat zijn persoonsgegevens verwerkt worden geldt er geen informatieplicht. Bijvoorbeeld als iemand zijn adresgegevens in een contactformulier invult dan mag diegene ervan uitgaan dat deze gegevens gebruikt worden om contact op te nemen. Als deze gegevens vervolgens bijvoorbeeld gebruikt worden om reclame te verzenden geldt natuurlijk wel een informatieplicht.

Verwerking volgens de wet (art. 15 Wbp.).

Persoonsgegevens mogen slechts verwerkt te worden volgens de wet. Dit houdt in dat de verantwoordelijke ervoor zorg moet dragen dat persoonsgegevens op de juiste gronden verwerkt worden en dat deze verwerking niet verder gaat dan nodig. In dit artikel wordt meer uitgelegd over het begrip verwerking. Ook als de verwerking aan een bewerker wordt uitbesteed blijft de verantwoordelijke aansprakelijk. De verantwoordelijke moet derhalve daadwerkelijk controleren of de bewerker zich daadwerkelijk aan de wet houdt.

Meldingsplicht (art. 27 Wbp.).

De verantwoordelijke dient een geheel of gedeeltelijk geautomatiseerde verwerking te melden bij het College Bescherming Persoonsgegevens. Let wel, een verwerking waarbij een computer gebruikt wordt is in beginsel gedeeltelijk geautomatiseerd. Op deze website van het CBP vindt u meer informatie over de melding. Een aantal bewerkingen zijn vrijgesteld van de meldingsplicht, ook daarover vindt u meer informatie op dezelfde website van het CBP.

Beveiliging (art. 13 en 14 Wbp.).

De verantwoordelijke is verantwoordelijk voor een adequate beveiliging van de persoonsgegevens. Deze beveiliging omvat zowel organisatorische als technische maatregelen. Enerzijds moet de verantwoordelijke dus zorgen dat zijn computersystemen voldoende beveiligd zijn (technisch) maar ook dat zijn personeel niet zomaar persoonsgegevens verspreidt (organisatorisch). Of beveiliging adequaat is hangt af van het type gegevens. Zo zal een ziekenhuis voor haar patiëntendossiers een hoger beveiligingsniveau moeten hanteren dan een postorderbedrijf dat alleen adresgegevens verwerkt.

Bewerkersovereenkomst (art. 14 Wbp.).

Zoals hierboven omschreven verwerkt de bewerker persoonsgegevens slechts ten behoeve van de verantwoordelijke. De verantwoordelijke bepaalt hoe ver de verwerking gaat en welke middelen daarbij gebruikt worden. Om transparantie te creëren bepaalt art. 14 Wbp dat een bewerkersovereenkomst moet worden afgesloten. In deze schriftelijke overeenkomst worden de afspraken tussen partijen vastgelegd. Zo blijkt uit de bewerkersovereenkomst het doel van de verwerking, welke middelen gebruikt worden, hoe de gegevens beveiligd worden, hoe lang de gegevens opgeslagen worden én hoe de verantwoordelijke kan controleren of de overeenkomst nagekomen wordt. Tot slot moet de bewerkersovereenkomst schriftelijk zijn en moet deze naar haar aard betrekking hebben op de gegevensverwerking. De bewerkersovereenkomst mag dus niet een onderdeel zijn van de overeenkomst van opdracht maar is een aparte overeenkomst.

Informatieverstrekking aan betrokkene (art. 35-42 Wbp.).

Tot slot heeft de betrokkene recht op informatie over zijn persoonsgegevens. De verantwoordelijke moet op verzoek van de betrokkene informatie verschaffen over de persoonsgegevens die verwerkt zijn, op welke wijze deze verwerkt zijn en aan welke derden deze verstrekt zijn. De betrokkene heeft vervolgens recht om onjuiste gegevens te laten aanpassen of te verwijderen indien de gegevens onjuist zijn of in strijd met de wet verwerkt worden. De verantwoordelijke is verplicht om wijzigingen of verwijdering van gegevens ook aan derden aan wie de gegevens zijn verstrekt kenbaar te maken, tenzij dat een onevenredige inspanning zou vereisen. Dat kan nogal wat voeten in aarde hebben, zeker als de persoonsgegevens aan een grote groep derden verstrekt zijn. Om zich te kunnen beroepen op een onevenredige inspanning zal men van goede huize moeten komen. Van een onevenredige inspanning is bijvoorbeeld sprake als de gegevens zijn opgenomen in een landelijk adressenbestand zoals de Telefoongids. Dan is bijna niet na te gaan aan wie gegevens verstrekt zijn, de gegevens kunnen immers online door iedereen worden ingezien.

Kan dit artikel gebruikt worden in een juridische procedure?

Dat is onwaarschijnlijk. Om die artikel voor consumenten leesbaar te maken is namelijk wat van de juridische precisie geofferd. Het is voor niet-juristen bovendien niet eenvoudig om de juridische accenten in een casus te herkennen. Dat is vergelijkbaar met het bouwen van een huis op basis van een schetstekening.

Dit artikel is voornamelijk bedoeld om een algemeen beeld te geven van de juridische aspecten van het internet. Lexxit raadt dan ook af om op basis van dit artikel enige juridische stappen te ondernemen. Dat kan veel schade veroorzaken.

Heeft u een vraag over persoonsgegevens?

Mocht u een vraag hebben over persoonsgegevens dan kunt u deze aan Lexxit stellen. U kunt contact opnemen met Lexxit door op de onderstaande knop te drukken.

Lexxit persoonsgegevens

Licentie

Creative Commons-Licentie
Lexxit Knowledge van Lexxit is in licentie gegeven volgens een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 3.0 Unported-licentie.
Gebaseerd op een werk op www.lexx-it.nl.

Lexxit geeft vrijblijvend advies over uw casus!

Meld internetmisbruik