Home / Publicaties / Privacy: de begrippen 'verantwoordelijke' en 'bewerker'...

Privacy: de begrippen 'verantwoordelijke' en 'bewerker' nader uitgelegd

18/03/2010

De Artikel 29-werkgroep is een werkgroep die bestaat uit vertegenwoordigers van alle Europese privacytoezichthouders en die de Europese Commissie adviseert over het privacybeleid binnen de EU. Onlangs heeft deze werkgroep de begrippen 'verantwoordelijke' en 'bewerker' nader uitgelegd. Dit zijn twee kernbegrippen in zowel de Europese als nationale wetgeving op het gebied van verwerking van persoonsgegevens. Ook de Nederlandse Wet bescherming persoonsgegevens (Wbp) maakt het belangrijke onderscheid tussen deze twee begrippen. Wie als 'verantwoordelijke' en wie als 'bewerker' beschouwd moet worden, bepaalt wie uiteindelijk verantwoordelijk (en aansprakelijk) is voor de naleving van privacyregelgeving, hoe de betrokkenen (de personen wiens gegevens verwerkt worden) hun rechten kunnen uitoefenen, maar ook of de Nederlandse Wbp van toepassing is of de privacywetgeving van een ander land.

De begrippen in de Wbp
De Wbp definieert de 'verantwoordelijke' als degene die, al dan niet gezamenlijk met een ander, het 'doel en de middelen voor de verwerking van persoonsgegevens vaststelt'. De 'bewerker' is degene die ten behoeve van de 'verantwoordelijke' de gegevens verwerkt, zonder aan het rechtstreeks gezag van de 'verantwoordelijke' te zijn onderworpen.

Reden voor nadere toelichting
Door veranderingen in het bedrijfsleven wordt het onderscheid steeds relevanter. Steeds vaker schakelen bedrijven voor hun databeheer externen in. Ook ICT-ontwikkelingen (zoals cloud computing) spelen een steeds grotere rol. Vaak worden er daarbij (ook) persoonsgegevens verwerkt door externe partijen, terwijl die zich niet bewust zijn van enige verplichtingen op grond van de Wbp. Het is daarom belangrijk voor partijen om zich in dergelijke gevallen te realiseren wie verantwoordelijk is én waarvoor. De begrippen 'verantwoordelijke' en 'bewerker' helpen daarbij. Maar dan moet natuurlijk wel duidelijk zijn wat ze precies inhouden. Daarom heeft de Artikel 29-werkgroep zich daar nu over uitgelaten.

De feitelijke situatie is beslissend
De werkgroep is van mening dat de kwalificatie 'verantwoordelijke' feitelijk moet worden beoordeeld. Primair is die kwalificatie een gevolg van de feitelijke omstandigheid dat een partij ervoor gekozen heeft om persoonsgegevens verwerken voor eigen doeleinden. Daarbij kan een rol spelen hoe partijen zich naar buiten toe presenteren en hoe betrokkenen dit opvatten. Als een callcenter bij het bellen van potentiële klanten van een bedrijf daarbij de naam gebruikt van dat bedrijf, dan zal het bedrijf snel als 'verantwoordelijke' kwalificeren en het callcenter als 'bewerker'. Overigens merkt de werkgroep op dat het contractueel aanwijzen van een 'verantwoordelijke' en 'bewerker' wel een indicatie geeft, maar niet beslissend is.

Doel en middelen
Volgens de Wbp is de 'verantwoordelijke' degene die 'doel en middelen' van de verwerking bepaalt. Volgens de werkgroep komt dit neer op het bepalen van het waarom en het hoe van de verwerking. De vraag is vaak in welke mate een partij dit moet doen om als 'verantwoordelijke' bestempeld te worden en hoe zich dit verhoudt tot de bewegingsvrijheid van de 'bewerker'.

Voor zover het bepalen van de middelen technische en organisatorische vragen omvat (zoals welke hardware en software wordt gebruikt), kan dit volgens de werkgroep makkelijk worden gedelegeerd aan de 'bewerker' zonder de kwalificatie te veranderen. Het bepalen van de middelen betekent echter meer dan het bepalen van de technische en organisatorische manieren van verwerken. Het impliceert namelijk ook het bepalen van het 'hoe' van de verwerking en daarbinnen vallen volgens de werkgroep ook de vragen 'welke gegevens worden verwerkt?', 'wie heeft toegang tot de gegevens?' en 'wanneer worden de gegevens verwijderd?' etc. Degene die deze vragen, die de kern van de rechtmatigheid van de verwerking raken, beantwoordt, dient volgens de werkgroep aangemerkt te worden als 'verantwoordelijke'.

Conclusie werkgroep
De werkgroep komt daarmee tot de conclusie dat het bepalen van het doeleinde van de verwerking in ieder geval tot de kwalificatie 'verantwoordelijke' leidt. Terwijl het bepalen van de middelen alleen verantwoordelijkheid impliceert als het gaat om het bepalen van de essentiële elementen daarvan.

Wanneer het doel goed omschreven is maar de middelen minder duidelijk zijn, moeten de middelen in ieder geval een geschikte manier vormen om het doel te bereiken en dient de 'verantwoordelijke' minimaal op de hoogte te zijn van de middelen die worden gebruikt. Wanneer een 'bewerker' invloed heeft op de doeleinden van verwerking en de verwerking (ook) ten behoeve van zichzelf uitvoert (bijv. wanneer hij de ontvangen data ook gebruikt om extra diensten te ontwikkelen), dan wordt hij zelf ook 'verantwoordelijke'.

Nuttig voor de praktijk
Verder licht de werkgroep de elementen van de definities van de begrippen 'verantwoordelijke' en 'bewerker' afzonderlijk nader toe en wordt ingegaan op situaties waar sprake is van gezamenlijke verantwoordelijkheid of waar meerdere bewerkers betrokken zijn. Om dit te ondersteunen geeft de werkgroep veel voorbeelden. Al met al een academische, maar ook nuttige handreiking voor de praktijk, ook omdat deze geldt voor de privacywetgeving in alle EU-landen.