Verwerkingsregister documentatieplicht

Verschil tussen verwerkingsverantwoordelijke en verwerker: wat ben jij?

Eva de Vries Eva de Vries
· · 8 min leestijd

Stel je voor: je hebt een briljant idee voor een app die het leven van ondernemers makkelijker maakt.

Inhoudsopgave
  1. Waarom dit onderscheid zo belangrijk is
  2. De verwerkingsverantwoordelijke: de captain van het schip
  3. De verwerker: de handige uitvoerder
  4. Hoe weet je wat je bent? De 3 vragen
  5. Veelvoorkomende misverstanden
  6. De relatie tussen beide: de verwerkersovereenkomst
  7. Praktijkvoorbeelden om het helder te maken
  8. Conclusie: wat ben jij?

Je wilt persoonsgegevens verzamelen om de gebruikerservaring te verbeteren. Je bent enthousiast en aan het bouwen, maar dan kom je opeens een lastig vraagstuk tegen.

Wie is er nu eigenlijk de baas over die data? Ben jij de verwerkingsverantwoordelijke of de verwerker? Dit onderscheid is niet zomaar een juridisch grapje; het bepaalt namelijk wie de verantwoordelijkheid draagt en wie de touwtjes in handen heeft. Laten we dit samenhelder maken, zonder ingewikkeld jargon.

Waarom dit onderscheid zo belangrijk is

De Algemene verordening gegevensbescherming (AVG) is de grote regelboek voor privacy in Europa. Deze regels zijn niet voor niets.

Ze beschermen mensen tegen misbruik van hun persoonlijke informatie. De AVG maakt een duidelijk verschil tussen twee hoofdrolspelers: de verwerkingsverantwoordelijke en de verwerker. Waarom moet jij dit weten?

Omdat je plichten verschillen. De een mag knopen doorhakken over data, de ander moet vooral uitvoeren wat er gevraagd wordt.

Zit je in de verkeerde rol, of begrijp je je rol niet? Dan loop je het risico op boetes of problemen met je klanten. En dat wil je niet.

De verwerkingsverantwoordelijke: de captain van het schip

Wie is de verwerkingsverantwoordelijke? Dit is simpelweg de persoon of organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt.

Stel je een schip voor. De verwerkingsverantwoordelijke is de kapitein.

Hij of zij bepaalt de bestemming. De kapitein beslist welke data nodig is, voor welk doel en hoe lang deze bewaard mag blijven. Deze rol is verantwoordelijk voor het naleven van de AVG. Als er iets misgaat, is de kapitein de eerste die aansprakelijk wordt gesteld.

Je bent vaak al verwerkingsverantwoordelijke als je zelfstandig beslissingen neemt over persoonsgegevens.

Bijvoorbeeld als je een webshop runt en je verzamelt namen en adressen van klanten om bestellingen te bezorgen. Jij bepaalt dat doel. Jij bent de baas.

De kern van de rol: beslissingsbevoegdheid

Je hoeft niet eens de eigenaar van het bedrijf te zijn; het gaat erom wie de feitelijke controle heeft over het dataverkeer. De verwerkingsverantwoordelijke heeft de touwtjes in handen.

Denk aan een zorginstelling die patiëntengegevens beheert of een retailer zoals Albert Heijn die klantdata gebruikt voor bonuskaarten.

Zij bepalen het hoofddoel. Zonder deze persoon of organisatie zou het hele proces niet starten. Het is een zware pet, want er rust veel verantwoordelijkheid op de schouders. Je moet zorgen voor een goede grondslag, je moet transparant zijn en je moet de rechten van mensen respecteren.

De verwerker: de handige uitvoerder

Wie is de verwerker? De verwerker is de partij die namens de verwerkingsverantwoordelijke de data verwerkt.

Terug naar het schip: de verwerker is de bemanning die het schip bestuurt onder leiding van de kapitein. De verwerker bepaalt niet het doel of de bestemming, maar voert de opdracht uit volgens de instructies van de kapitein.

Stel je voor dat je een bedrijf bent dat gespecialiseerd is in het versturen van e-mailcampagnes. Een klant geeft jou een lijst met e-mailadressen om een nieuwsbrief te versturen. Jij mag die adressen niet zelf gebruiken voor je eigen marketing. Jij bent slechts de uitvoerder.

Jij bent de verwerker. Je voert een dienst uit voor een ander.

Een ander voorbeeld is een cloudopslagdienst. Stel dat een bedrijf zijn personeelsdossiers opslaat in de cloud. De cloudprovider bewaart de data, maar heeft geen zeggenschap over de inhoud of het doel.

Zij mogen de data niet zelf analyseren voor hun eigen ontwikkeling, tenzij dit expliciet is afgesproken. Zij zijn de verwerker.

De verwerker heeft een belangrijke taak: zorgen dat de data veilig is en correct wordt verwerkt volgens de afspraken.

De rol van de verwerker: uitvoeren en beschermen

De verwerker mag niets op eigen houtje doen. Geen extra’s, geen creatieve interpretaties. De verwerker moet zich houden aan de instructies van de verwerkingsverantwoordelijke.

Is er geen instructie? Dan mag de verwerker niets doen.

Dit is een wettelijke verplichting. De verwerker is dus geen passieve partij; hij is actief betrokken bij de beveiliging en naleving van de regels, maar altijd binnen de kaders die de verwerkingsverantwoordelijke stelt, mede gebaseerd op welke gegevens er in het verwerkingsregister staan.

Hoe weet je wat je bent? De 3 vragen

Het kan in de praktijk soms lastig zijn om te bepalen welke rol je precies hebt.

Vooral bij complexe samenwerkingen of nieuwe technologie kan dit verwarrend zijn. Toch is het makkelijker dan je denkt. Focus op drie simpele vragen om je rol te bepalen. De allerbelangrijkste vraag is: waarom worden de gegevens verwerkt?

Vraag 1: Wie bepaalt het doel?

Wie heeft bedacht dat dit nodig is? Als jij zelf hebt besloten dat je e-mailadressen wilt verzamelen voor een nieuwsbrief, dan ben jij de verwerkingsverantwoordelijke.

Als je die lijst krijgt van een ander en alleen maar moet versturen, dan ben je de verwerker.

Vraag 2: Wie bepaalt de middelen?

Het doel bepalen is de sleutel. Hoe worden de gegevens verwerkt? Welke software wordt gebruikt?

Welke beveiligingsmaatregelen neem je? Als jij beslist welke technieken en methoden gebruikt worden, ben je vaak de verwerkingsverantwoordelijke.

Vraag 3: Wie is er financieel verantwoordelijk?

Als je een kant-en-klare tool gebruikt die je klant voorschrijft, dan ben je mogelijk de verwerker. Wie draait op voor de kosten en wie profiteert er direct van de dienst? De verwerkingsverantwoordelijke is degene die het belang heeft bij de verwerking en de eindverantwoordelijkheid draagt.

De verwerker krijgt betaald voor een dienst. Natuurlijk, een verwerker heeft ook commerciële belangen, maar het primaire doel van de verwerking ligt bij de verantwoordelijke.

Veelvoorkomende misverstanden

Er bestaan een paar hardnekkige misverstanden over deze rollen. Laten die de wereld uit helpen.

Een veelgemaakte fout is dat kleine bedrijven denken: "Ik ben te klein voor de AVG, dus ik hoef nergens aan te denken." Dit klopt niet.

Iedere organisatie die persoonsgegevens verwerkt, valt onder de AVG. Of je nu een eenmanszaak bent of een multinational. De grootte van je bedrijf maakt niet uit voor je rol, alleen je beslissingsbevoegdheid telt.

Een ander misverstand is dat een verwerker nooit verantwoordelijk is. Dit is gevaarlijk. Een verwerker is weliswaar geen baas, maar is wel verplicht om zorgvuldig met data om te gaan. Als een verwerker een datalek veroorzaakt door nalatigheid, kan hij alsnog aansprakelijk worden gesteld. Bovendien kan een verwerker onder bepaalde omstandigheden zelf ook verwerkingsverantwoordelijke worden.

Bijvoorbeeld als hij de persoonsgegevens die hij voor een klant verwerkt, gebruikt voor zijn eigen marketing.

En tot slot: een verwerker is niet altijd een externe partij. Een afdeling binnen je eigen bedrijf kan ook een verwerker zijn.

Stel dat de IT-afdeling de persoonsgegevens beheert voor de HR-afdeling. De HR-afdeling is de verwerkingsverantwoordelijke (die bepaalt waarom de data er is), en de IT-afdeling is de verwerker (die zorgt dat de systemen draaien).

De relatie tussen beide: de verwerkersovereenkomst

Als je als verwerkingsverantwoordelijke samenwerkt met een verwerker, ben je wettelijk verplicht om een contract af te sluiten.

Dit heet een verwerkersovereenkomst. Dit is niet zomaar een formaliteit; het is een cruciaal document. In deze overeenkomst staan duidelijke afspraken over wat de verwerker wel en niet mag doen. Wat je moet vastleggen bij het inschakelen van een verwerker, omvat onder meer afspraken over beveiliging, melding van datalekken en het vernietigen van data na afloop van de samenwerking.

Zonder deze overeenkomst mag een verwerker niet zomaar aan de slag. Het is de kapitein die de bemanning instrueert en vastlegt hoe ze zich moeten gedragen.

Populaire tools zoals Salesforce, Microsoft 365 of Google Workspace zijn vaak verwerkers.

Als jij als bedrijf deze tools gebruikt om klantgegevens in op te slaan, sluit je een verwerkersovereenkomst met hen. Zij beloven jouw data veilig te houden en niet voor eigen doeleinden te gebruiken.

Praktijkvoorbeelden om het helder te maken

Laten we het nog iets concreter maken met herkenbare situaties. Situatie 1: De boekhouder.
Jij bent een ondernemer en je stuurt je facturen en bonnetjes naar een boekhouder.

Jij wilt dat je boekhouding op orde is. Jij bepaalt welke gegevens de boekhouder krijgt en waarom (voor de belastingaangifte).

Jij bent de verwerkingsverantwoordelijke. De boekhouder is de verwerker; hij voert de cijfers in en zorgt voor de aangifte volgens jouw instructies. Situatie 2: De marketeer.
Je huurt een marketingbureau in om een campagne te runnen. Je geeft hen een lijst met e-mailadressen van bestaande klanten.

Het bureau mag deze adressen gebruiken om een specifieke actie te versturen, maar ze mogen de lijst niet bewaren voor hun eigen promotie.

Jij bent de verantwoordelijke, het bureau is de verwerker. Situatie 3: De software-ontwikkelaar.
Je laat een app bouwen waarin gebruikers hun健康 data (gezondheidsdata) invoeren. Jij bepaalt dat deze data wordt opgeslagen om gebruikers inzicht te geven.

De ontwikkelaar bouwt de database en zorgt voor de techniek. De ontwikkelaar is de verwerker, tenzij hij zelfstandig beslissingen neemt over het gebruik van die data voor zijn eigen onderzoek.

Conclusie: wat ben jij?

De vraag "wat ben jij?" is essentieel voor je privacybeleid. Ben jij de beslissende kapitein of de uitvoerende bemanning?

Ben je verwerkingsverantwoordelijke? Dan draag je de volledige verantwoordelijkheid. Je moet zorgen voor een goede grondslag, een privacyverklaring, datalekken melden en gezondheidsgegevens correct opnemen in je verwerkingsregister.

Ben je verwerker? Dan moet je je strikt houden aan de instructies van je klant.

Je moet zorgen voor goede beveiliging en de klant informeren als er iets misgaat. Twijfel je nog steeds? Kijk dan naar de context van je activiteiten.

In sommige gevallen ben je beide. Dit heet een gemengde rol.

Een arts kan bijvoorbeeld voor zijn eigen praktijk verwerkingsverantwoordelijke zijn (patiëntengegevens), maar als hij werkt voor een ziekenhuis dat hem inhuurt, kan hij ook verwerker zijn.

Dit vereist extra zorgvuldigheid. Het begrijpen van dit verschil zorgt voor rust en duidelijkheid. Je voorkomt juridische risico's en je bouwt vertrouwen op met je klanten. Dus, de volgende keer dat je een nieuw project start, vraag jezelf af: wie bepaalt het doel? Het antwoord op die vraag vertelt je precies welke pet je op moet zetten.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →