Het lijkt wel of iedereen elkaar aan het bestoken is met verwerkersovereenkomsten. Dat berust op het misverstand dat men denkt dat als er persoonsgegevens worden verwerkt die van een andere organisatie komen er altijd sprake is van een verwerkersrelatie, en dus een verwerkersovereenkomst nodig is. Dat is helemaal niet zo. Het loont de moeite om goed te kijken naar die onderlinge relatie. Er zijn namelijk drie opties:
- De ene partij is verwerkingsverantwoordelijke, de ander is verwerker
- De partijen zijn gezamenlijke verwerkingsverantwoordelijken.
- De partijen zijn ieder voor zich verwerkingsverantwoordelijke voor de door hen uitgevoerde verwerkingen.
In het geval van optie 1 moet er een verwerkersovereenkomst gesloten worden. Optie 2 brengt met zich mee dat partijen afspraken moeten maken over hoe ze hun gezamenlijke verantwoordelijkheid inrichten. In geval van optie 3 zijn geen nadere privacyrechtelijke afspraken nodig. Ieder moet voor zich de AVG naleven.
Optie 3 doet zich vaker voor dan je zou denken op grond van de storm aan verwerkersovereenkomsten die rond waait. Om te bepalen wie de verwerkingsverantwoordelijke is gaat het erom wie het doel en de middelen voor de verwerking vaststelt. Stelt iemand geen doelen en middelen voor de verwerkingen vast, en verwerkt hij dus alleen persoonsgegevens in opdracht van een ander, dan, en alleen dan, is hij verwerker. Bij het bepalen van wie het doel en de middelen voor de verwerking bepaalt gaat het erom wie de feitelijke invloed heeft op de verwerking van de persoonsgegevens, met andere woorden ‘wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met de gegevens gebeurt’ (Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming, januari 2018, p.32).
Het loont de moeite om telkens goed te analyseren wie feitelijk de beslissingen neemt over de persoonsgegevens. Je komt dan al snel op gezamenlijke verantwoordelijkheid (veel simpeler te regelen dan een verwerkersovereenkomst) of op optie 3: ieder is zelf verantwoordelijk. Dan is er geen nadere overeenkomst nodig.
Ik zou graag gezien hebben dat het verwerkersbegrip uit de AVG geschrapt was. Als je persoonsgegevens verwerkt ben je daarvoor verantwoordelijk, klaar. En hoe bedrijven hun onderlinge aansprakelijkheid (wat iets anders is dan verantwoordelijkheid in privacyzin) regelen moeten ze lekker zelf weten. Maar goed, het staat in de AVG, dus denk eerst goed na of het wel van toepassing is!