033 200 30 83
De Autoriteit Persoonsgegevens heeft een voorbeeldlijst gepubliceerd met de rollen van verwerker of verwerkingsverantwoordelijke. Zie voorbeeldlijst.
Als verwerkingsverantwoordelijke blijft u altijd verantwoordelijk voor de persoonsgegevens die u verwerkt. Ook wanneer u die verwerking uitbesteedt aan een verwerker. Uw klanten, burgers, patiënten etc. hebben hun persoonsgegevens immers met ú gedeeld. En niet met uw verwerker.
De vraag wanneer de andere organisatie geen verwerker is maar verwerkingsverantwoordelijke, hangt af van waar de feitelijke invloed ligt op het doel en de middelen van de verwerking.
Verwerkt de andere organisatie de door u verstrekte gegevens voor eigen, zelf bepaalde doeleinden? Dan is deze organisatie verwerkingsverantwoordelijke, net als u.
Bepaalt de andere organisatie alleen de middelen van de verwerking, maar zijn dit wel essentiële aspecten? Ook dan is deze organisatie verwerkingsverantwoordelijke.
Gevolgen twee verwerkingsverantwoordelijken
Is de organisatie waaraan u gegevens verstrekt geen verwerker, maar verwerkingsverantwoordelijke? Dan hoeft u geen verwerkersovereenkomst met deze organisatie af te sluiten.
Het betekent ook dat deze organisatie zelf moet bepalen of de verwerkingen voldoen aan alle eisen van de Algemene verordening gegevensbescherming (AVG). Bijvoorbeeld of er een geldige grondslag is om de persoonsgegevens te verwerken.
Recent datalek Blauw en Nebu: feitelijke situatie zal altijd leidend zijn
Interessant is ook om het artikel te lezen van Menno Weij van BDO dat laatst is gepubliceerd op Data& Privacyweb.
De vraag is wie welke privacy-juridische rol heeft.
Vaak is dat niet gemakkelijk vast te stellen. De feitelijke situatie geeft overigens altijd de doorslag en de Autoriteit Persoonsgegevens zal daar ook altijd naar handelen.
