Home > Blog > De verwerker in de zin van de AVG

De verwerker in de zin van de AVG

Volgens de AVG, de nieuwe privacywet die sinds 25 mei 2018 geldt, dienen er verwerkersovereenkomsten te worden gesloten met verwerkers van persoonsgegevens. Maar niet alle partijen waarmee u persoonsgegevens deelt, worden aangemerkt als verwerker. Maar wie is nu wel en wie is nu niet een verwerker?

Definitie

De AVG definieert een verwerker als volgt: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

De woorden ‘ten behoeve van’ zijn erg belangrijk voor het herkennen van een verwerker. Een verwerker gebruikt de gegevens niet voor zijn eigen doelen, maar verwerkt deze uitsluitend ten behoeve van uw doeleinden. Tussen u en de verwerker bestaat dan ook een gezagsverhouding: u bepaalt immers welke gegevens worden verwerkt, hoe deze mogen worden verwerkt en hoelang dit mag gebeuren. Deze afspraken legt u vast in een verwerkersovereenkomst, die u volgens de wet verplicht bent te sluiten met elke verwerker.

Dit betekent niet dat u nu verwerkersovereenkomsten moet gaan sluiten met elke partij met wie u persoonsgegevens deelt. Niet elke partij is namelijk een verwerker!

Wie is wel een verwerker

De volgende partijen worden over het algemeen aangemerkt als verwerkers:

– De hostingprovider van uw website; als u een contactformulier op uw website hebt en deze provider toegang heeft tot de ingevulde formulieren.
– De hostingprovider van uw website; als deze voor u trackingcookies plaatst op uw website en toegang heeft tot deze gegevens.
– De Cloud provider; als u persoonsgegevens opslaat in deze Cloud.
– De externe partij die uw salaris- of verzuimadministratie verzorgt. Deze partij verzamelt de gegevens niet zelf, maar verkrijgt deze van u. De verwerkingen vinden plaats in uw opdracht.
– Een partij die voor u analyses uitvoert op uw persoonsgegevens. U kunt denken aan een big data analyse, waarbij u snel inzichtelijk krijgt welke persoon de meeste omzet genereert.
– Een externe klantenservice die namens u vragen van uw klanten beantwoordt.
– De dienst waarmee u nieuwsbrieven verstuurt, zoals MailChimp.

In al deze situaties houdt u als ‘verantwoordelijke’ de touwtjes in handen met betrekking tot wat er met de data gebeurt.

Wie is geen verwerker

Soms verschaft u persoonsgegevens van uzelf of uw personeel aan een dienst die deze gegevens niet voor u verwerkt, maar dit voor zichzelf doet. Deze dienst is dan géén verwerker. Dit komt doordat de dienst zelf bepaalt wat deze met de persoonsgegevens doet. Denk bijvoorbeeld aan het doorgeven van personeelsgegevens aan:

– Een leasemaatschappij, zodat deze de leasecontracten met uw personeel kan verzorgen;
– Een pensioenfonds, die het pensioen voor uw personeel beheert;
– Het bedrijf waar uw personeel kerstpakketten mag uitzoeken;
– De telecommaatschappij waar de zakelijke abonnementen van uw personeel mee zijn afgesloten.

Vuistregel

De vuistregel is als volgt: Mag de partij waarmee u persoonsgegevens deelt zelf bepalen wat deze met de data doet? Dan is deze partij GEEN verwerker en hoeft u geen verwerkersovereenkomst te sluiten met deze partij.

In de praktijk

Veel verwerkers hanteren hun eigen verwerkersovereenkomsten. Sommige partijen zien zichzelf als verwerker, maar zijn dit niet. Onderteken dus niet zomaar elke verwerkersovereenkomst die u krijgt toegestuurd en bepaal voor uzelf of deze partij wel kan worden gezien als uw verwerker.