Bommetje onder de AVG-relatie in opdrachten van de Overheid deel 1?

Geschreven door Roelf van Dam.

(Referte: Guidelines 07/2020 on the concepts of controller and processor in the GDPR)

Welzijnsorganisaties werken, meestal, vanuit een opdracht van de overheid, vaak is de Gemeente belast met de uitvoering van diverse sociale wetten. Hierbij worden, onvermijdelijk, persoonsgegevens gebruikt. De AVG is dus zondermeer van toepassing. Welzijnsorganisaties maken daarvoor vaak gebruik maken van specifieke registratiesystemen en tools.

De AVG kent voor de verwerking van persoonsgegevens twee rollen van actoren: die van Verwerkingsverantwoordelijke en die van Verwerker (art. 24 en art. 28 AVG). De Verantwoordelijke is de “eigenaar” van persoonsgegevens; zij bepaalt “doel en middelen”. De Verwerker levert via, een schriftelijke instructie, diensten bij de verwerking.  

Het juist beleggen van de rollen is van belang om taken en bevoegdheden op de juiste manier vast te leggen en om te bepalen welke partij de (eind-)verantwoordelijkheid (“accountability”) draagt om aan de eisen van de AVG te voldoen en wie daarin de ondersteunende rol heeft.

In 2020 heeft de privacy-adviescommissie van de EU (EDPB) via een publicatie richtlijn uitgegeven die de rollen van Verantwoordelijke en Verwerker verduidelijkt. 

Het “bepalen van doel en middelen” laat in de praktijk best veel ruimte voor interpretatie. Onduidelijkheid over het beleggen van de rollen vloeit daaruit voort. Het verkeerd beleggen van de rollen heeft tot gevolg dat partijen niet aan de juiste verplichtingen aan de AVG voldoen en dus, tezamen, niet AVG-proof zijn. Bij incidenten zal de AP dat als verwijt kunnen gebruiken. Indien twee partijen gezamenlijk verantwoordelijk zijn (art. 26 AVG), is een verwerkersovereenkomst tussen hen ook niet de juiste vorm; zij maken verkeerde afspraken, die bij problemen geen stand zullen houden.

 Ook voor welzijnsorganisaties heeft de richtlijn gevolgen. De Verantwoordelijke is degene die het doel bepaalt en die de middelen kiest. Een Gemeente verleent een algemene opdracht voor welzijnswerk aan een welzijnsorganisatie. Doorgaans wordt daarmee aangenomen dat de welzijnsorganisatie dan de rol van Verantwoordelijke heeft vanuit haar autonomie en directe betrokkenheid. De Gemeente heeft die aan de welzijnsorganisatie vanuit een wet (WMO, Jeugdwet en/of Participatiewet bijvoorbeeld), gemandateerd en neemt daarna, praktisch gezien, afstand tot de uitvoering van de taak die dan door de welzijnsorganisatie wordt ingevuld. Dit geeft de indruk dat de welzijnsorganisatie “feitelijke invloed” op het gebruik van persoonsgegevens heeft en daarmee Verantwoordelijk is of op zijn minst een Gezamenlijke Verantwoordelijke. 

De richtlijn is hier echter duidelijk over: een Gemeente heeft een wettelijke taak en de verantwoordelijkheid daarvoor is op grond daarvan onvervreemdbaar en dus is zij  Verantwoordelijke! De welzijnsorganisatie is daarmee per definitie de Verwerker! Er is zelfs ook geen sprake van gezamenlijke verantwoordelijkheid (art. 26 AVG).

Andere overwegingen om de rol van Verantwoordelijke te bepalen worden door de wettelijk grondslag direct ter zijde gezet. Feitelijke invloed (voor het bepalen van doel en middelen), contractuele bepalingen (in de opdracht) of traditionele rolverdeling, zijn dan geen factoren voor overweging meer. De welzijnsorganisatie kan alleen Verwerker zijn. 

De richtlijn zal in veel gevallen voor een andere relatie tussen partijen gaan zorgen dan die partijen nu hebben. Er zullen een aantal zaken contractueel en praktisch moeten gaan worden geregeld. Wat betekent dat voor welzijnsorganisaties (of eigenlijk: voor alle opdrachtnemers van overheden)? 

Mail of bel met Check-Privacy; wij lichten graag deze ontwikkeling toe en/of komen graag langs voor een vrijblijvende scan van uw situatie. 

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. 

06 54 964 164

Afdrukken