• Nieuws

Persoonsgegevens – Verwerker of verantwoordelijke? Niet zo eenvoudig als het lijkt

10 januari 2019
IT & privacy - Technologie, media & telecom

Als een ander bedrijf persoonsgegevens voor je verwerkt en opslaat, dan moet je met dat bedrijf een verwerkersovereenkomst sluiten. Dat is één van de regels uit de Algemene Verordening Gegevensbescherming die in het afgelopen jaar tot een enorme hoeveelheid werk heeft geleid. In hun streven om te voldoen aan de nieuw privacywet bestoken bedrijven elkaar met verwerkersovereenkomsten. Want de regels zijn helder, nietwaar?

Nou, helaas niet …

Een ingeschakelde derde is namelijk niet altijd een ‘verwerker’. Soms heeft zo’n derde een eigen verantwoordelijkheid. En dat is veel eerder het geval dan vaak wordt gedacht. De recente uitspraak van de Autoriteit Persoonsgegevens in de Uber case maakt dit nog weer eens pijnlijk duidelijk.

In deze blog zal ik ingaan op hoe je nu eigenlijk bepaalt of je ‘verwerker’ bent of ‘verantwoordelijke’ en waarom het van belang is om dit te weten.

Wie is verantwoordelijke, wie is verwerker?

De AVG stelt het als volgt. Bepaal je “het doel en de middelen” voor de verwerking van de persoonsgegevens, dan ben je verantwoordelijk. Verwerk je gegevens voor een ander en doe je dat op instructie en onder verantwoordelijkheid van die ander? Dan ben je een verwerker.

Bijvoorbeeld, als een werkgever gegevens van zijn werknemers verwerkt, dan is de werkgever daarvoor verantwoordelijk. Schakelt de werkgever een derde in om de salarisadministratie voor hem uit te voeren, dan is die derde een verwerker. Een aanbieder van telecommunicatiediensten die gegevens verwerkt om zijn klanten een factuur te sturen is verantwoordelijk voor die verwerking. Schakelt hij daarbij een derde in om de facturen te verzenden dan is die derde een verwerker. In beide gevallen is er duidelijk één partij die bepaalt wat er gebeurt.

De praktijk is helaas vaak complexer. Lang niet altijd is duidelijk waar de verantwoordelijkheid ligt.            Bijvoorbeeld omdat de derde die wordt ingeschakeld de gegevens gebruikt om zijn eigen dienst te leveren en zelf bepaalt welke middelen hij daarvoor inzet.

In hoeverre is een derde die zelf beslissingen neemt een verwerker? Hoeveel kan een verwerker zelf bepalen zonder zelf als verantwoordelijke te worden aangemerkt? Waar ligt het omslagpunt?

De Uber uitspraak geeft ons handvatten.

Gedraag je je als verantwoordelijke? Dan ben je verantwoordelijk.

Tussen Uber NL en Uber VS was een verwerkersovereenkomst gesloten (zie ook mijn vorige blog). Daarin stond dat Uber VS de gegevens die zij van Uber NL kreeg alleen mocht gebruiken op instructie van Uber NL. Uber NL had dus formeel-juridisch de bevoegdheid om doel en middelen te bepalen. Op grond daarvan concludeerde de AP dat Uber NL in ieder geval verantwoordelijk was voor de gegevensverwerking.

Maar dat betekent nog niet dat Uber VS daarmee een verwerker was. Bepalingen in een contract geven meer duidelijkheid, maar zijn niet doorslaggevend voor de vraag wie verantwoordelijke is. Die derde kan namelijk zelf ook verantwoordelijk zijn.

De AP kijkt naar de bedoeling van de wet. En die is dat de verantwoordelijkheid wordt gelegd op de plaats waar de feitelijke invloed ligt. Daarbij moet gekeken worden naar alle feiten en omstandigheden zoals die zich in het concrete geval voordoen. Daarbij is het, zo merkt de AP op, niet noodzakelijk dat een partij zowel het doel als de middelen bepaalt. Bepaalt een partij, zelfstandig of samen met een ander, alleen het doel dan kan die partij alleen daarom al verantwoordelijk zijn. Hetzelfde geldt als een partij wezenlijke aspecten van de middelen bepaalt.

Uber VS deed het allebei.

Uber VS ontwikkelt de Uber app en biedt deze wereldwijd aan. Zij maakt daarnaast back-ups van de gegevens die in de app worden opgeslagen. Die activiteiten worden uitgevoerd in het kader van het reguliere bedrijfsproces van het Uber-concern. Welke gegevens worden verwerkt en opgeslagen en waarvoor deze worden gebruikt was opgenomen in de privacyverklaring van Uber. Die was door Uber VS en Uber NL gezamenlijk opgesteld. In zo’n geval, concludeert de AP, is van een verantwoordelijke-verwerker relatie geen sprake. Uber VS bepaalt, mede, het doel van de verwerking en is dus zelf ook verantwoordelijk.

Uber VS bepaalt daarnaast het informatiebeveiligingsbeleid. In dat kader beslist zij over alle maatregelen die binnen het Uber concern worden genomen om de gegevens van gebruikers te beveiligen. Daarbij gaat het niet alleen om technische of organisatorische zaken, zoals versleuteling, beveiligingsprocedures en recht(en) tot toegang. Ook “training, guidance” en “direction” worden door Uber VS bepaald. Dat zijn wezenlijk aspecten van de middelen, zo oordeelt de AP, en het draagt er (mede) aan bij dat Uber VS samen met Uber NL de middelen van verwerking vaststelt.

Daarnaast had Uber VS zelf besloten om een overeenkomst te sluiten met Amazon voor de opslag van de back-ups. Daar had zij Uber NL niet in gekend. Dus, zegt de AP, heeft ze zich autonoom opgesteld en een bepalende invloed gehad op de wijze waarop de opslag (een middel voor verwerking) plaatsvindt.

Alles bij elkaar genomen concludeert de AP dat Uber VS feitelijk invloed heeft gehad op zowel het doel als de middelen van de verwerking. En daaruit concludeert de AP dat Uber VS dus (mede)verantwoordelijk is. Ook al was in de verwerkersovereenkomst duidelijk afgesproken dat zij alleen op instructie van Uber NL mocht verwerken.

Waar Uber NL zal hebben gedacht dat zij haar risico’s had afgedicht door een verwerkersovereenkomst te sluiten, bleek dit niet het geval. Uber NL was, naast Uber VS, hoofdelijk aansprakelijk voor de hoge boete die werd opgelegd. Zoiets doet pijn. En het kan voorkomen worden. Namelijk door een “verantwoordelijke-verantwoordelijke” overeenkomst te sluiten, waarin de risico’s wel juist worden geadresseerd.

Eerst analyseren en dan pas juridisch regelen

Is er een verwerkersovereenkomst gesloten waarin is bepaald dat jij doel en middelen mag bepalen dan ben jij verantwoordelijke. Dat betekent niet dat de ander dus verwerker is. De verwerkersovereenkomst is daarvoor niet bepalend. Het gaat om wie feitelijk beslist.

Gebruik je gegevens voor je eigen dienstverlening en/of neem je beslissingen over het doel waarvoor de gegevens worden verwerkt? Dan ben je verantwoordelijk. Neem je beslissingen over welke gegevens worden verwerkt, hoe lang gegevens worden bewaard, het beveiligingsbeleid, welke derden toegang krijgen tot de gegevens? Dan neem je beslissingen over “wezenlijke aspecten van” de middelen van verwerking en ben je verantwoordelijk.

Schakel je een sub-bewerker in of handel je een datalek af, terwijl je dat niet afstemt met je opdrachtgever en hem daarover ook niet informeert? Dan stel je je autonoom op. Dat alleen hoeft nog geen reden te zijn om je als verantwoordelijke aan te wijzen. In combinatie met andere factoren kan het er wel voor zorgen dat je verantwoordelijk bent.

Heb je een verwerkersovereenkomst gesloten die de door jou ingeschakelde derde verbiedt om deze beslissingen te nemen en handelt hij dus onbevoegd? Dat maakt niet uit. Gedraag je je als verantwoordelijke, dan ben je verantwoordelijk.

Sluit dus niet klakkeloos een verwerkersovereenkomst als je een derde inschakelt die gegevens voor je verwerkt, maar maak eerst een analyse van de situatie. Bepaal op basis daarvan welke afspraken nodig zijn om risico’s af te dichten. Het kost wellicht wat extra, maar de Uber zaak toont aan dat het de moeite loont.

In haar rapport uit 2010 over dit onderwerp constateerde de Artikel 29 Werkgroep al dat er veel partijen zijn die zichzelf niet beschouwen als verantwoordelijke, maar het wel zijn. Ik vraag me af hoeveel verwerkersovereenkomsten het afgelopen jaar onterecht zijn gesloten. Hoe zit dat bij jouw organisatie?