In januari wees Business Manager Beryl Hetharia nog op de risico’s van het niet uitvoeren van een Data Protection Impact Assessment (DPIA) en de mogelijke boetes die hierbij om de hoek komen kijken. Als Legal Counsel bij ICTRecht heb je niet alleen de schone taak om met enige regelmaat een DPIA uit te voeren, maar vanzelfsprekend ook om dit juist uit te voeren. Wij zijn zeker niet de enige partij die dit doet. In de praktijk komt het vaak genoeg voor dat bijvoorbeeld een softwareleverancier of ingehuurd consultancybureau een dergelijke opdracht alvast uitvoert.
Maar vanuit welke rol wordt een DPIA dan uitgevoerd? De AVG schrijft voor dat de verwerkingsverantwoordelijke – het zit hem waarschijnlijk al in de naam – verantwoordelijk is voor het uitvoeren van een DPIA. Het komt wel met enige regelmaat voor dat, vanuit het oogpunt van gemak en comfort, een verwerker het heft in eigen hand neemt en op voorhand al een DPIA uitvoert, zodat de verwerkingsverantwoordelijke, werk uit handen wordt genomen.
In het kader van servicegerichtheid is dit wenselijk en in de praktijk gaat het (vrijwel) altijd goed. De verwerker levert een template aan, de verwerkingsverantwoordelijke vult deze in, lokaliseert de aanwezige risico’s en dekt deze gepast af. Een DPIA is een interne verplichting en betrokkenen zullen hier weinig van merken. Maar wanneer een verwerker steeds meer taken op zich zal nemen, kruipen verwerker en verwerkingsverantwoordelijke steeds meer naar elkaar toe.
Denk aan een verwerker die inzageverzoeken van betrokkenen afhandelt, de bewaartermijnen vaststelt of zelfs de grondslagen voor een verwerking bepaalt. In het verlengde hiervan kan gezegd worden dat wanneer het voor een betrokkene onduidelijk is waar hij of zij heen moet om diens rechten uit te oefenen, het steeds onduidelijker wordt wie de verantwoordelijke is en wie de verwerker. Zie hier het ontstaan van een “verwerker-verantwoordelijke”.
Het is dus belangrijk om als (overheids)organisatie de privacyrechtelijke rolverdeling goed te bepalen. Dit kan gelukkig op verschillende manieren. Voor gemeenten zijn er bijvoorbeeld handvatten om mee aan de slag te gaan. Zo heeft de Informatiebeveiligingsdienst, ondergebracht bij de Vereniging Nederlandse Gemeenten (VNG), een factsheet gepubliceerd in 2021 om de verwerkingsverantwoordelijke en verwerker vast te stellen Bij gemeenten kan de situatie ook extra complex worden, wanneer er sprake is van een centrumgemeente. Hierbij is sprake van een ‘intergemeentelijk samenwerkingsverband’ en zou de gemeente zowel verwerkingsverantwoordelijke én verwerker kunnen zijn.
Het scherp hebben van de rollen is dus erg belangrijk. Het is essentieel om deze op een juiste, duidelijke en volledige manier vast te leggen in een verwerkersovereenkomst. En je raadt het al: ook deze schone taak kunnen wij op ons nemen.
