Menu

Filter op
content
PONT Zorg&Sociaal
  • PONT home
    • molen

    0

    Met de invoering van de AVG zijn ook veel misverstanden ontstaan. Een van de hardnekkigste is wel dat bij een samenwerking met derden waarbij persoonsgegevens een rol spelen of worden verstrekt, altijd een verwerkersovereenkomst gesloten moet worden. In de allereerste privacywet (Wet persoonsregistraties) en de voormalige Wet bescherming persoonsgegevens was deze rol al geregeld. Stb. 1988, 665 en Stb. 2000, 302 (bewerker). De AVG heeft in de onderlinge relatie geen wijziging gebracht.

    De verwerker is een ‘natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’.

    Art. 4 lid 8 AVG. Om vast te stellen wie als verwerker moet worden aangemerkt, is cruciaal dat die partij persoonsgegevens verwerkt in opdracht van de verantwoordelijke. Dit moet eng worden uitgelegd. Het heeft altijd betrekking op het uitbesteden van een gegevensverwerking, niet het uitbesteden van een taak of dienst waarvan het verwerken van persoonsgegevens een uitvloeisel is. Een hulpverleningsinstantie die door de gemeente is gecontracteerd om hulp of zorg te verlenen is zelden een ‘verwerker,’ maar is bijna altijd een zelfstandige verantwoordelijke. Die instantie heeft op grond van een eigen taakuitoefening een relatie met de betrokkene en is om die reden aan te merken als een zelfstandige verwerkingsverantwoordelijke. Dit blijkt ook uit het feit dat de medewerkers van de hulpverlenende instantie vaak zijn onderworpen aan een beroepscode of tuchtregels.

    Er is dus alleen sprake van een verwerker als een gegevensverwerking wordt uitbesteed aan een externe partij, zoals bij de aanschaf van bijvoorbeeld een cliëntregistratiesysteem, of als een gegevensverwerking geoutsourcet of in de cloud gezet wordt.

    Men kan niet zonder meer zelf besluiten om een partij als verwerker aan te wijzen; de afbakening tussen de verwerker en de verwerkingsverantwoordelijke wordt bepaald door de definities van de wet, de inhoud van de overeenkomst en de concrete feitelijke situatie.

    EDPB Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, 7 juli 2021.

    De noodzaak om de rol van de verwerker te regelen is ruim 30 jaar geleden ontstaan, in de periode dat gegevens steeds meer op grote schaal en geautomatiseerd werden verwerkt door een partij buiten de eigen organisatie. De toelichting bij de Wbp zegt hierover:

    ‘Het verwerkersbegrip is in principe van toepassing op verschillende vormen van dienstverlening. Uitgangspunt is daarbij dat de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk. Een advocaat die namens een cliënt optreedt of een telemarketingbedrijf dat in opdracht van een derde onderzoek verricht, is bijvoorbeeld zelf verantwoordelijk voor de verwerking van persoonsgegevens die in het kader van hun taak plaatsvindt.’

    Kamerstukken II 1997/98, 25892, 3 p. 61.

    De logica van het onderscheiden van de rol van verwerker en verwerkingsverantwoordelijke is dat ter bescherming van de persoonlijke levenssfeer van de betrokkenen de verantwoordelijkheden voor de verwerking helder moeten zijn. De betrokkene moet weten wie hij aan kan spreken. De verantwoordelijke kan zich niet onttrekken aan aansprakelijkheid met de mededeling dat de werkzaamheden elders worden uitgevoerd en de verwerker kan zich niet onttrekken aan aansprakelijkheid voor dat deel dat hem aangaat.

    Art. 28 en 82 AVG.

    • Het moet gaan om het uitbesteden van een gegevensverwerking;

    • Het kan gaan om een verwerking van persoonsgegevens die de verantwoordelijke anders zelf zou uitvoeren;

    • De verwerking wordt uitgevoerd ten behoeve van en namens de verwerkingsverantwoordelijke;

    • De verwerker is niet hiërarchisch ondergeschikt aan de verwerkingsverantwoordelijke;

    • De verwerkingsverantwoordelijke bepaalt de doeleinden van de verwerking en geeft instructies aan de verwerker;

    • De verwerker heeft geen zeggenschap over de persoonsgegevens, mag ze niet voor andere doeleinden gebruiken of verrijken met informatie uit bronnen waar de verwerkingsverantwoordelijke zelf niet over mag beschikken.

    Een wijkteam waar diverse disciplines samenkomen en gegevens worden uitgewisseld is geen verwerker. Het doel van de samenwerking is niet primair het uitbesteden van een gegevensverwerking. Het doel is samenwerking in het belang van de cliënt. Dit betekent dus dat de instanties die samenwerken in een wijkteam allemaal zelf verwerkingsverantwoordelijken zijn en blijven voor de persoonsgegevens die zij van hun cliënten verwerken.

    Als met meerdere organisaties wordt samengewerkt, dan kan sprake zijn van een gezamenlijke verwerkingsverantwoordelijkheid van de partijen. Ook kan de situatie zich voordoen dat bij het inschakelen van een externe deskundige persoonsgegevens aan deze partij worden verstrekt. Daarmee wordt die externe ontvanger tegenover de betrokkene een zelfstandige verwerkingsverantwoordelijke.

    Gegevensverwerking en privacy in het sociaal domein
    Bewerkingsdatum: 15 September 2022
    Corrie Ebbers
    Bestel

    Word lid van PONT | Zorg & Sociaal

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2026 Berghauser Pont | Website gemaakt door Buro Zero