Privacyrecht: gezamenlijke verwerkingsverantwoordelijkheid

Bestuursrecht

Volgens de Algemene verordening gegevensbescherming (AVG) is de verwerkingsverantwoordelijke de partij die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Uit deze definitie blijkt al dat er sprake kan zijn van meerdere organisaties die gezamenlijk verwerkingsverantwoordelijken zijn. De AVG kent daarvoor een specifieke regeling in artikel 26.

Wanneer is geen sprake van gezamenlijke verwerkingsverantwoordelijkheid?

Als een organisatie persoonsgegevens verwerkt voor haar eigen doeleinden en deze gegevens deelt met een andere organisatie die de persoonsgegevens voor haar eigen doelen gebruikt, dan is sprake van twee zelfstandige verwerkingsverantwoordelijken. Iedere organisatie moet zelf doel en middelen vastleggen voor het eigen proces. Voor de uitwisseling van persoonsgegevens verdient het aanbeveling een “data transfer agreement” (of in goed Nederlands: een “gegevensuitwisselingsovereenkomst”) te sluiten. Hier is dus géén sprake van gezamenlijke verwerkingsverantwoordelijkheid in de zin van de AVG. Dat is ook niet het geval als een partij in opdracht van een andere partij persoonsgegevens verwerkt; dan is sprake van een relatie tussen een verwerkingsverantwoordelijke en verwerker.

Wanneer is wél sprake van gezamenlijke verwerkingsverantwoordelijkheid?

Van gezamenlijke verwerkingsverantwoordelijkheid in de zin van artikel 26 AVG is wél sprake als twee of meerdere verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen. Dat is bijvoorbeeld het geval als een gemeente in overleg met een sociaal werkbedrijf uitkeringsgerechtigden ondersteunt in het vinden van ander werk en om die reden zowel de gemeente als het sociaal werkbedrijf persoonsgegevens van de uitkeringsgerechtigden verwerken. Het gezamenlijke doel is in dit voorbeeld uitvoering van de Participatiewet. Voor de vaststelling of sprake is van zelfstandige of gezamenlijke verwerkingsverantwoordelijkheid is dus bepalend de vraag of de verwerkingsverantwoordelijken voor een eigen doel persoonsgegevens verwerken of dat de verwerking door beiden voor een gezamenlijk doel plaatsvindt. In het eerste geval is het aan te raden afspraken over gegevensuitwisseling vast te leggen. In het geval van gezamenlijke verwerkingsverantwoordelijkheid is dat zelfs voorgeschreven.

Gelijke verantwoordelijkheid?

Het bestaan van een gezamenlijke verantwoordelijkheid betekent niet noodzakelijkerwijs dat de verwerkingsverantwoordelijken een gelijke verantwoordelijkheid hebben ten aanzien van de verschillende verwerkingen van persoonsgegevens. Het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval, waarbij het uitgangspunt is dat de verantwoordelijkheid niet verder gaat dan de bevoegdheid van de verwerkingsverantwoordelijke. Dit wordt verduidelijkt in een uitspraak van de Afdeling bestuursrechtspraak van de Raad van State van 2 oktober 2019 (vindplaats ECLI:NL:RVS:2019:3331) In deze uitspraak worden het college van B&W van een gemeente en de Vereniging van Nederlandse Gemeenten (VNG) als gezamenlijke verwerkingsverantwoordelijken aangemerkt voor het plaatsen van een brief met persoonsgegevens op het VNG-forum. Het college moet de betrokkene daarom mededelen welke persoonsgegevens zij op het VNG-forum heeft geplaatst. De toegang tot het forum wordt echter beheerd door de VNG en zij heeft daarover ook de zeggenschap. De VNG heeft daarom invloed op en inzicht in de deelnemers en gebruikers van het VNG-forum, het college heeft dat niet. Om die reden strekt de verantwoordelijkheid van het college niet zo ver dat het aan de betrokkene een lijst moet verstrekken van degenen die zijn persoonsgegevens vanaf het VNG-forum verder hebben verwerkt. Daarvoor kan betrokkene zich tot de VNG richten.

Onderlinge regeling

Op een gezamenlijke verwerkingsverantwoordelijkheid is artikel 26 AVG van toepassing. Daarin staat dat in het geval van een gezamenlijke verwerkingsverantwoordelijkheid de verwerkingsverantwoordelijken een onderlinge regeling dienen vast te stellen. In het hierboven genoemde voorbeeld is het dus van belang dat de gemeente met het sociaal werkbedrijf een regeling treft waarin de onderlinge verantwoordelijkheden worden vastgelegd. Daarin wordt afgesproken hoe er moet worden omgegaan met de rechten van betrokkene, zoals het informeren van de betreffende uitkeringsgerechtigden, wie klachten of vragen van betrokkenen beantwoordt, hoe moet worden omgegaan met een eventueel datalek etc. In lid 2 van artikel 26 AVG staat dat uit de regeling moet blijken welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen en wat hun verhouding met de betrokkenen is. Vanwege de gezamenlijke verwerkingsverantwoordelijkheid moeten de gemeente en het sociaal werkbedrijf ook afspraken maken over het uitvoeren van een Data Privacy Impact Assessment (DPIA). Zo’n DPIA zal dan worden uitgevoerd onder de verantwoordelijkheid van beide. Verder ligt het in genoemd voorbeeld voor de hand dat de gemeente de verantwoordelijkheid op zich neemt voor alle zaken die het concreet bemiddelen van de uitkeringsgerechtigde naar ander werk overstijgen, bijvoorbeeld het opleggen van sancties als de uitkeringsgerechtigde de sollicitatieplicht niet naleeft of de afspraken met het sociaal werkbedrijf niet nakomt. Het sociaal werkbedrijf neemt de verantwoordelijkheid voor de verwerking van persoonsgegevens in het kader van de taken die voor het eigen werkproces moeten worden verricht, zoals het informeren van de uitkeringsgerechtigden over mogelijke banen en het aanmelden van een betrokkene bij een potentiële werkgever. In de onderlinge regeling als bedoeld in artikel 26 AVG dienen de verschillende taken en verantwoordelijkheden van de gemeente en het sociaal werkbedrijf te worden vastgelegd.

De onderlinge regeling moet te raadplegen zijn. Betrokkenen kunnen hun rechten jegens iedere verwerkingsverantwoordelijke uitoefenen.

Tips voor de praktijk

  • Stel, aan de hand van de vraag wie het doel en de middelen voor de verwerking van persoonsgegevens bepaalt, vast wie verwerkingsverantwoordelijke is. Als iedere partij eigen doel en middelen bepaalt, is sprake van aparte verwerkingsverantwoordelijken. Bepalen partijen in onderling overleg het doel en de middelen voor de gegevensverwerking, dan is sprake van gezamenlijke verwerkingsverantwoordelijkheid.
  • Spreek een onderlinge regeling af waarin de verschillende verantwoordelijkheden van de partijen worden vastgelegd.
  • Publiceer de onderlinge regeling, zodat voor betrokkenen duidelijk is welke persoonsgegevens met welk doel worden verzameld, wie voor welke taken verantwoordelijk is en hoe betrokkenen hun rechten kunnen uitoefenen.

Contact en cursussen

Heeft u vragen of wilt u ondersteuning bij privacyvraagstukken, bel dan met een van onze specialisten via telefoonnummer 079-3631919. Wilt u meer weten over dit onderwerp? Volg één van onze privacycursussen.

Ontvang onze publicaties

Ontvang ons cursusaanbod

Volg ons op social media

Gerelateerde publicaties