Commercieel gezien zijn persoonsgegevens enorm interessant. Niet alleen om een bestelling mee af te handelen in een webshop, maar ook om profielen van een bepaalde groep personen te maken of om commerciële berichten te sturen. Voor bedrijven zoals Google of Facebook zijn persoonsgegevens goud waard. Maar ook kwaadwillende zijn altijd op zoek naar persoonsgegevens, bedenk eens wat je met creditcard gegevens van honderden klanten van een webshop of online gameplatform kunt doen. Daarom is het uitermate belangrijk om zorgvuldig met persoonsgegevens om te gaan. Maar wie is er verantwoordelijk voor deze omgang?
Iedereen die met persoonsgegevens omgaat is verantwoordelijk voor de geheimhouding en veiligheid daarvan. Het wordt echter al iets ingewikkelder als je omgaat met persoonsgegevens die je voor andere bedrijven beheert en gebruikt. Denk daarbij aan het maken van een back-up van klantgegevens of bijvoorbeeld het versturen van een nieuwsbrief indien deze naar adressen gaat die een ander bedrijf, op rechtmatige wijze, verzameld heeft. De eigenaar van de gegevens is verantwoordelijk, maar ook degene die met de persoonsgegevens aan de slag gaat heeft een bepaalde verantwoordelijkheid.
De wet spreekt in dat geval over een verantwoordelijke (degene die de gegevens verzamelt heeft) en de bewerker (degene die de gegevens verwerkt). In bovenstaand voorbeeld zijn deze rollen duidelijk. In de praktijk blijkt dit echter regelmatig moeilijker dan gedacht. De Wet bescherming persoonsgegevens (Wbp) stelt dat degene die verantwoordelijk is een bewerkersovereenkomst dient te laten ondertekenen door de bewerker.
De bewerkersovereenkomst, vaak een ondergeschoven kindje, is niet alleen wettelijk verplicht, maar ook van essentieel belang om goede afspraken te maken over de beveiliging en omgang met persoonsgegevens.
De verantwoordelijke voor de persoonsgegevens wordt in de Wbp ruim gedefinieerd:
de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
Degene die het doel en/of de middelen voor de verwerking vaststelt wordt dus gezien als verantwoordelijke. In de gevallen waarbij het niet direct duidelijk is wie de verantwoordelijk is, is het goed om af te vragen of partij A zonder medewerking van partij B beschikking krijgt over de persoonsgegevens. (zo stelt de Artikel 29-werkgroep in een opinie uit 2010)
Een werkgever die een contract sluit met een software ontwikkelaar die een back-up gaat maken van de personeelsgegevens is verantwoordelijke. Ingewikkelder wordt het al als een werkgever een contract sluit met een software ontwikkelaar die een platform gaat ontwikkelen waarop personeelsleden zich kunnen registreren en vervolgens met elkaar kunnen communiceren, of foto’s uit kunnen wisselen.
Het personeel dient zich weliswaar zelf te registreren op het platform, maar toch is de werkgever verantwoordelijk voor de persoonsgegevens die de software ontwikkelaar opslaat. Zonder het contract dat de werkgever met de software ontwikkelaar heeft gesloten zou de software ontwikkelaar immers geen beschikking hebben gekregen over de persoonsgegevens. En dus is er een bewerkersovereenkomst tussen de werkgever en software ontwikkelaar nodig.
In de praktijk blijkt soms dat de verantwoordelijke deze verantwoordelijkheid van zich af wenst te schuiven door alle verantwoordelijkheid bij de bovengenoemde software ontwikkelaar neer te leggen. Dat helpt de verantwoordelijke niet, maar de software ontwikkelaar helemaal niet. Indien dit bij een controle van het College Bescherming Persoonsgegevens aan het licht komt, lopen beide partijen het risico een last onder dwangsom opgelegd te krijgen.
Belangrijk is om in een bewerkersovereenkomst duidelijk de rollen van de partijen uiteen te zetten. Zo weten alle partijen waar ze aan toe zijn en wat ze elkaar kunnen bieden. U kunt via onze generator op JuriDox zelf een bewerkersovereenkomst opstellen (onder de AVG verwerkersovereenkomst). Heeft u dan toch nog extra advies nodig, dan staan we voor u klaar.
Meer weten over privacywetgeving?
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
