De verwerker in het sociaal domein

12-08-2019

Ebbers, Corrie

Met de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 is de belangstelling voor het onderwerp ‘privacy’ enorm toegenomen, maar zijn ook misverstanden ontstaan.

Een van de hardnekkigste is wel dat bij een samenwerking met derden waarbij persoonsgegevens een rol spelen of worden verstrekt, een verwerkersovereenkomst gesloten moet worden. In de voormalige Wet bescherming persoonsgegevens waren deze rollen al geregeld, de AVG heeft in deze relatie geen wijziging gebracht.

De verwerker is een ‘natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’.(1)

Om vast te stellen wie als verwerker moet worden aangemerkt, is cruciaal dat die partij persoonsgegevens verwerkt in opdracht van de verantwoordelijke. Dit moet eng worden uitgelegd. Het heeft altijd betrekking op het uitbesteden van een gegevensverwerking, niet het uitbesteden van een taak waarbij persoonsgegevens een rol spelen. Een hulpverleningsinstantie die door de gemeente is gecontracteerd om hulp of zorg te verlenen is zelden een ‘verwerker,’ maar is bijna altijd een zelfstandige verantwoordelijke. Die instantie heeft op grond van een eigen professie een relatie met de betrokkene en is om die reden aan te merken als een zelfstandige verwerkingsverantwoordelijke. Dit blijkt ook uit het feit dat de medewerkers zijn onderworpen aan een eigen beroepscode of tuchtregels.

Er is dus alleen sprake van een verwerker als een gegevensverwerking wordt uitbesteed aan een externe partij, zoals bij de aanschaf van bijvoorbeeld een cliëntregistratiesysteem, of als een gegevensverwerking geoutsourcet of in de cloud gezet wordt.

Men kan niet zonder meer zelf besluiten om een partij als verwerker aan te wijzen; de afbakening tussen de verwerker en de verwerkingsverantwoordelijke wordt bepaald door de definities van de wet, de inhoud van de overeenkomst en de concrete feitelijke situatie.(2)

De logica van het onderscheiden van die twee rollen is dat ter bescherming van de persoonlijke levenssfeer van de betrokkenen de verantwoordelijkheden voor de verwerking helder moeten zijn. De betrokkene moet weten wie hij aan kan spreken. De verantwoordelijke kan zich niet onttrekken aan aansprakelijkheid met de mededeling dat de werkzaamheden elders worden uitgevoerd en de verwerker kan zich niet onttrekken aan aansprakelijkheid voor dat deel dat hem aangaat.(3)

Wanneer is sprake van een verwerker?

  • Het moet gaan om een verwerking van gegevens die de verantwoordelijke anders zelf zou uitvoeren;
  • De verwerking wordt uitgevoerd ten behoeve van en namens de verwerkingsverantwoordelijke;
  • De verwerker is niet hiërarchisch ondergeschikt aan de verwerkingsverantwoordelijke;
  • De verwerkingsverantwoordelijke bepaalt de doeleinden van de verwerking en geeft instructies aan de verwerker;
  • De verwerker heeft geen zeggenschap over de gegevens, mag ze niet voor andere doeleinden gebruiken of verrijken met informatie uit bronnen waar de verwerkingsverantwoordelijke zelf niet over mag beschikken.

In een wijkteam waar diverse disciplines samenkomen en gegevens worden uitgewisseld is geen sprake van een verwerker. Het doel van de samenwerking is niet primair het uitbesteden van een gegevensverwerking. Het doel is samenwerking in het belang van de cliënt.

Als met meerdere organisaties wordt samengewerkt, dan kan sprake zijn van een gezamenlijke verantwoordelijkheid van de partijen.(4) Ook kan de situatie zich voordoen dat bij het inschakelen van een externe deskundige persoonsgegevens aan deze partij worden verstrekt. Daarmee wordt die externe tegenover de betrokkene een zelfstandige verwerkingsverantwoordelijke.

(1) Art. 4 lid 8 AVG

(2) Advies 01/2010 van de Groep gegevensbescherming art. 29 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker” (WP 169).

(3) Art. 28 en 82 AVG.

(4) Art. 26 AVG\


Dit artikel is ook te vinden in het dossier Privacy in het sociaal domein

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
paula vrolijk

Paula Vrolijk-de Vries (programmamanager Privacyweb)
tel. 020 - 237 47 01
paula@berghauserpont.nl

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Opleiding Privacy in het sociaal domein - 3 daags

Met deze driedaagse opleiding wordt u opgeleid tot privacy professional in het sociaal domein.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer