AVG-overeenkomsten

Kennisbank » AVG-overeenkomsten

Hoe hangen de rollen van verwerker en verwerkingsverantwoordelijke samen met de soorten overeenkomsten voor gegevensuitwisseling? In dit artikel wordt deze samenhang uitgelegd.

Wanneer je gegevens uitwisselt met een andere organisatie, is het belangrijk om een overeenkomst op te stellen die deze gegevensuitwisseling regelt. Dit kan een verwerkersovereenkomst zijn, maar dat is niet in alle gevallen noodzakelijk. In dit artikel ga ik in op de verschillende rollen en welke contractvormen er bestaan op basis van deze rollen.  

I. Welke rollen zijn er?

De Algemene Verordening Gegevensbescherming (AVG) definieert twee belangrijke rollen in de verwerking van persoonsgegevens, namelijk: 

– Verwerkingsverantwoordelijke: De partij die de doelen (waarom) en middelen (hoe) van de gegevensverwerking bepaalt. 

Verwerker:De partij die gegevens verwerkt namens de verwerkingsverantwoordelijke, zonder zelf de doelen en middelen te bepalen. 

Het begrijpen van deze rollen is cruciaal, aangezien de rol die een organisatie vervult direct de verplichtingen en de overeenkomsten bepaalt die moeten worden afgesloten. 

 
II. Verschil tussen verwerkingsverantwoordelijke en verwerker 
 
1. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van: 

Waarom gegevens worden verwerkt (doelstellingen); en, 

Hoe gegevens worden verwerkt (middelen). 

Verplichtingen van de verwerkingsverantwoordelijke: 

Zorg dragen voor rechtmatige, eerlijke en transparante verwerking. 

  Betrokkenen informeren over verwerkingsactiviteiten en hun rechten. 

Implementeren van technische en organisatorische beveiligingsmaatregelen.  

Waarborgen van rechten van betrokkenen, zoals inzage, rectificatie en verwijdering.

Voorbeeld:Een zorginstelling die persoonsgegevens verzamelt en verwerkt om behandelingen te leveren. 

 
2. Verwerker

De verwerker voert gegevensverwerking uit op instructie van de verwerkingsverantwoordelijke en bepaalt niet zelfstandig de doelen en middelen van verwerking.

Verplichtingen van de verwerker: 

Alleen verwerken volgens schriftelijke instructies van de verwerkingsverantwoordelijke. 

Passende beveiligingsmaatregelen implementeren.  

Samenwerken bij naleving van AVG-verplichtingen, bijvoorbeeld bij meldingen van datalekken. 

Voorbeeld: Een IT-dienstverlener die medische dossiers opslaat in opdracht van een zorginstelling.

 
III. Wat is gezamenlijke verwerkingsverantwoordelijkheid? 

Bij gezamenlijke verwerkingsverantwoordelijkheid bepalen twee of meer verwerkingsverantwoordelijken gezamenlijk de doelen en middelen van de verwerking van persoonsgegevens. Dit onderscheidt zich van de relatie tussen een verwerkingsverantwoordelijke en een verwerker, waarbij één partij de leiding heeft en de ander slechts uitvoert. 

Kenmerken van gezamenlijke verwerkingsverantwoordelijkheid: 

– Gedeelde besluitvorming: Beide partijen hebben invloed op de doelen en middelen van verwerking.

– Gezamenlijke aansprakelijkheid: Beide partijen zijn gezamenlijk verantwoordelijk voor naleving van de AVG. 

Analyse voor vaststelling van gezamenlijke verantwoordelijkheid: 

Is er een gedeeld doel voor de verwerking van gegevens? 

Is er wederzijdse afhankelijkheid om de doelen te bereiken? 

Hebben beide partijen zeggenschap over hoe de verwerking plaatsvindt? 

Belangrijke nuance:In gevallen waar deze factoren ontbreken, maar er toch gegevens worden uitgewisseld tussen onafhankelijke verwerkingsverantwoordelijken, is er sprake van eendata-uitwisselingsovereenkomst. Hierbij blijven beide partijen afzonderlijk verantwoordelijk voor hun verwerking. Een data-uitwisselingsovereenkomst wordt ook wel een verwerkingsverantwoordelijke-verwerkingsverantwoordelijke-overeenkomst genoemd. Hoewel deze laatste term beter past bij het type overeenkomst is deze te lang voor het gebruik in de praktijk.  

Een gezamenlijke verwerkingsverantwoordelijkheid vereist een overeenkomst waarin de gedeelde verantwoordelijkheden worden vastgelegd, bijvoorbeeld een gezamenlijke verwerkingsverantwoordelijke-overeenkomst. Bij een data-uitwisselingsovereenkomst, die van toepassing is tussen onafhankelijke verwerkingsverantwoordelijken, worden afspraken gemaakt over de overdracht en beveiliging van gegevens zonder gezamenlijke verantwoordelijkheid voor doelen en middelen. 

Voorbeeld van gezamenlijke verwerkingsverantwoordelijkheid: 
Een smartphonefabrikant en een softwareleverancier werken samen om gebruikers de mogelijkheid te bieden hun telefoon terug te vinden wanneer deze kwijt is. Beide partijen bepalen gezamenlijk de doelen (het aanbieden van de terugvindfunctie) en de middelen (technologische en gegevensverwerkingsmethoden) voor deze dienst. Hierdoor zijn zij gezamenlijk verantwoordelijk voor de naleving van de AVG met betrekking tot de verwerking van de persoonsgegevens van gebruikers. 

Voorbeeld van een data-uitwisselingsovereenkomst tussen twee losstaande verwerkingsverantwoordelijken: 
Een zorgaanbieder verstrekt patiëntgegevens aan een universiteit voor onderzoek naar Alzheimer. In dit geval blijven beide partijen afzonderlijke verwerkingsverantwoordelijken: de zorgaanbieder is verantwoordelijk voor het verzamelen en verstrekken van de gegevens, terwijl de universiteit verantwoordelijk is voor het verwerken van de gegevens binnen het kader van het onderzoek. Omdat er geen gezamenlijke bepaling is van doelen en middelen, wordt een data-uitwisselingsovereenkomst opgesteld om afspraken vast te leggen over de overdracht, beveiliging en het waarborgen van de rechten van betrokkenen. 

 
IV. Contractvormen voor gegevensuitwisseling 

De AVG schrijft specifieke contractvormen voor, afhankelijk van de rolverdeling: 

1. Verwerkersovereenkomst (Artikel 28 AVG): 

Verplicht tussen een verwerkingsverantwoordelijke en een verwerker. 

Legt vast dat de verwerker uitsluitend handelt op instructie en voldoet aan beveiligingseisen. 

2. Gezamenlijke verwerkingsverantwoordelijke-overeenkomst (Artikel 26 AVG): 

Vereist bij gezamenlijke verwerkingsverantwoordelijkheid. 

Regelt de verdeling van verantwoordelijkheden en verplichtingen tussen de partijen. 

3. Data-uitwisselingsovereenkomst: 

Van toepassing bij gegevensoverdracht tussen onafhankelijke verwerkingsverantwoordelijken. 

Legt afspraken vast over beveiliging, rechten van betrokkenen en verantwoordelijkheden. 

Overzicht:

 
V. Conclusie 

Het correct vaststellen van rollen verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker is essentieel voor AVGnaleving en de wijze waarop je de risico’s contractueel moet afkaderen. Door het juiste onderscheid te maken minimaliseert u de risico’s en de verwachtingen naar zowel klanten, samenwerkingspartners en betrokkenen 

Publicatiedatum: 11 december 2024

Auteur: Yana de Kerpel, Privacy Officer bij Privacy United