Je staat op het punt om een nieuwe samenwerking te starten. Misschien een CRM-systeem, een payroll-service of een marketingbureau dat je klantdata gaat gebruiken.
▶Inhoudsopgave
De vraag is simpel maar essentieel: is deze partij een verwerker of een zelfstandige verwerkingsverantwoordelijke?
Het antwoord bepaalt hoe je contracten opzet, wie aansprakelijk is en hoe je omgaat met datalekken. Geen paniek, we gaan dit samen uitzoeken. Het is makkelijker dan het klinkt.
Wat is het verschil eigenlijk?
Stel je voor: je geeft een schilder opdracht om je huis te schilderen.
De schilder gebruikt jouw verf, jouw kwasten en volgt jouw instructies. De schilder is dan een verwerker. Hij voert uit wat jij bepaalt.
Als je daarentegen een fotograaf inhurt om foto’s te maken voor je website, bepaalt die fotograaf zelf hoe hij dat doet. De fotograaf is zelf verantwoordelijk voor de foto’s en de data die daarbij komt kijken.
Dat is een zelfstandige verwerkingsverantwoordelijke. In de wereld van privacywetgeving werkt het net zo.
Een verwerker voert alleen taken uit volgens jouw instructies. Een zelfstandige verwerkingsverantwoordelijke neemt zelf beslissingen over de doeleinden en middelen van de verwerking. Het gaat er dus om wie de touwtjes in handen heeft.
De kernvraag: wie bepaalt het doel en de middelen?
De GDPR (of AVG) geeft een duidelijke richtlijn. De verwerkingsverantwoordelijke is degene die het doel en de middelen van de verwerking vaststelt.
De verwerker is degene die namens de verantwoordelijke werkt. Klinkt logisch, maar in de praktijk zie je vaak grijze zones.
Neem een cloudprovider. Als je een standaard-abonnement neemt bij Microsoft Azure of Amazon AWS, dan zijn zij een verwerker. Jij bepaalt wat je op hun servers zet.
Maar als je een op maat gemaakte data-analyse-dienst afneemt waarbij de provider zelf bepaalt welke data hij analyseert en voor welk doel, dan kan hij opeens een zelfstandige verwerkingsverantwoordelijke zijn. Het gaat om de feitelijke invloed.
Checklist: 5 vragen om direct te stellen
Om snel helderheid te krijgen, doorloop je deze vragen. Ze zijn concreet en helpen je om de relatie te definiëren.
1. Wie bepaalt het doel van de verwerking?
Vraag je af: waarom worden deze data verwerkt? Als jij die vraag beantwoordt en de leverancier voert uit, is het een verwerker. Als de leverancier zelf een doel formuleert, bijvoorbeeld voor eigen marketing of onderzoek, is het een zelfstandige verwerkingsverantwoordelijke.
2. Wie kiest de middelen?
Denk aan software, hardware en beveiligingsmaatregelen. Als jij bepaalt welke tools gebruikt worden, is het een verwerker.
3. Zijn er gedeelde verantwoordelijkheden?
Als de leverancier zijn eigen systemen gebruikt en jij daarop alleen toegang krijgt, is het vaak een verwerker. Maar als de leverancier zelf bepaalt hoe data wordt verwerkt zonder jouw input, let op. In sommige gevallen delen partijen de verantwoordelijkheid. Denk aan een shared service center.
4. Wat staat er in het contract?
Hier is het belangrijk om contractueel vast te leggen wie wat doet. De AVG vereist dat je weet wat er minimaal in een verwerkersovereenkomst moet staan, maar bij gedeelde verantwoordelijkheid is een uitgebreidere regeling nodig.
Lees de contractvoorwaarden. Wanneer is een verwerkersovereenkomst verplicht? Het is een duidelijk signaal dat de leverancier een verwerker is. Staat er iets in over eigen doeleinden of zelfstandige beslissingen?
5. Wie is aansprakelijk bij een datalek?
Dan wijst dat op een zelfstandige verwerkingsverantwoordelijke. Let op details zoals aansprakelijkheid en audits.
Bij een verwerker is de verwerkingsverantwoordelijke primair aansprakelijk, tenzij de verwerker buiten de instructies om handelt. Bij een zelfstandige verwerkingsverantwoordelijke is die partij zelf aansprakelijk. Dit is een cruciaal verschil voor je risicobeheer.
Praktijkvoorbeelden om het helder te maken
Laten we een paar scenario’s bekijken die je waarschijnlijk tegenkomt. Je stuurt maandelijks je personeelsgegevens naar een payrollbedrijf.
Een payrollprovider
Jij bepaalt welke data het zijn en waarom ze verwerkt moeten worden. De payrollprovider voert uit volgens jouw instructies. Dit is een verwerker.
Een marketingbureau
Een verwerkersovereenkomst is hier verplicht. Een bureau voert je campagnes uit.
Jij geeft aan welke doelgroep je wilt bereiken. Het bureau kiest de middelen, zoals Facebook Ads of Google Ads. Toch blijft het doel door jou bepaald. Dit is vaak een verwerker.
Een cloudprovider
Maar als het bureau eigen data gebruikt om je campagnes te optimaliseren, kan het een zelfstandige verwerkingsverantwoordelijke worden. Je huurt opslagruimte bij een cloudprovider.
Jij bepaalt wat je erop zet. De provider beveiligt de infrastructuur. Dit is een verwerker.
Een advocatenkantoor
Als je echter een dienst afneemt waarbij de provider data analyseert voor eigen inzichten, is het een andere situatie.
Je schakelt een advocaat in voor juridisch advies. De advocaat bepaalt zelf hoe hij de data verwerkt en voor welk doel. Dit is een zelfstandige verwerkingsverantwoordelijke. Je sluit geen verwerkersovereenkomst, maar je kunt wel afspraken maken over vertrouwelijkheid en toestemming voor het inschakelen van een sub-verwerker.
Valkuilen en grijze zones
Het is niet altijd zwart-wit. Soms is er sprake van een gemengde rol. Denk aan een IT-dienstverlener die zowel infrastructuur levert als eigen diensten aanbiedt.
Of een HR-dienst die payroll uitvoert en tegelijkertijd loopbaanadvies geeft op basis van eigen data.
In zo’n geval is het belangrijk om per verwerking te kijken wie welke rol speelt. Splits de dienstverlening op in aparte contracten of artikelen. Zo voorkom je verwarring en voldoe je aan de AVG.
Waarom dit verschil zo belangrijk is
De keuze tussen verwerker en zelfstandige verwerkingsverantwoordelijke bepaalt je juridische positie. Als verwerkingsverantwoordelijke ben je eindverantwoordelijk voor de privacy van betrokkenen.
Je moet zorgen voor een goede grondslag, transparantie en beveiliging. Een verwerker helpt je daarbij, maar jij blijft de regisseur. Bij een zelfstandige verwerkingsverantwoordelijke is die partij zelf verantwoordelijk.
Jij bent dan geen regisseur, maar een klant. Je hebt minder controle, maar ook minder aansprakelijkheid voor hun handelen.
Dit onderscheid is ook relevant voor toezichthouders. De Autoriteit Persoonsgegevens (AP) kijkt naar de feitelijke verhoudingen. Een contract alleen is niet genoeg; de praktijk moet kloppen.
Stappenplan: zo regel je het
Volg deze stappen om je leveranciersrelatie goed in te richten. Loop de vijf vragen hierboven na.
Stap 1: Analyseer de dienst
Bespreek dit met de leverancier. Wees eerlijk en open. Als het een verwerker is, sluit je een verwerkersovereenkomst.
Stap 2: Leg het vast in een contract
Als het een zelfstandige verwerkingsverantwoordelijke is, leg je afspraken vast over vertrouwelijkheid, beveiliging en aansprakelijkheid.
Stap 3: Monitor de relatie
De rol kan veranderen. Als de leverancier nieuwe diensten introduceert, check opnieuw. Stel jaarlijks vast of de rol nog klopt.
Stap 4: Documenteer je keuze
Houd een overzicht bij van je leveranciers en hun rollen. Dit helpt bij audits en als de AP komt controleren.
Conclusie: wees proactief
Het onderscheid tussen verwerker en zelfstandige verwerkingsverantwoordelijke is geen rocket science. Het draait om wie de touwtjes in handen heeft.
Door scherp te kijken naar doel, middelen en contracten, kom je er snel achter. Zo voorkom je juridische risico’s en bouw je een sterke, betrouwbare relatie op met je leveranciers. Begin vandaag nog met de checklist en maak je samenwerkingen future-proof.