Je persoonsgegevens, je gebruikt deze voor alles in het dagelijkse leven. Je stelt je voor aan een vreemde, je vult je adres in op een website om een bestelling te plaatsen en je geeft je werkgever jouw telefoonnummer. Maar wat gebeurt er als de website jouw persoonsgegevens zomaar weggeeft en je ineens mailtjes krijgt van onbekende bedrijven? Wie is er verantwoordelijk voor het feit dat jouw persoonsgegevens veilig blijven en wie mag ze gebruiken? De verwerkingsverantwoordelijke is hiervoor verantwoordelijk, maar dit is misschien niet de enige verwerker die jouw gegevens heeft.
Welke handelingen zijn een verwerking van persoonsgegevens?
Om te verduidelijken waar we het over hebben met verwerkingsverantwoordelijke en verwerker, moeten we eerst verduidelijken wat een verwerking is van persoonsgegevens. Je verwerkt persoonsgegevens wanneer je:
- Persoonsgegevens opslaat, bijvoorbeeld wanneer je een mailtje ontvangt en deze in het postvak laat staan of een document met persoonsgegevens op de harde schijf plaatst;
- Persoonsgegevens gebruikt, bijvoorbeeld voor taken op het werk of in marketingactiviteiten;
- Persoonsgegevens deelt, bijvoorbeeld door ze online te zetten of aan een derde partij te geven;
- Persoonsgegevens inziet, bijvoorbeeld wanneer je inkijk krijgt in het klantenbestand van een bedrijf.
De voorgenoemde voorbeelden zijn voornamelijk digitale verwerkingen. De fysieke tegenhangers zijn evengoed voorbeelden van verwerkingen van persoonsgegevens.
Wat is een verwerkingsverantwoordelijke of verwerker?
De verwerkingsverantwoordelijke is vaak de eerste partij die de persoonsgegevens ontvangt. Je geeft je persoonsgegevens aan deze partij voor een reden, bijvoorbeeld zodat je je pakketje kan ontvangen. De partij waarmee je afspraken maakt en je persoonsgegevens deelt is de verwerkingsverantwoordelijke.
Iedere partij die jouw persoonsgegevens werkt is een verwerker, waaronder derde partijen die de verwerkingsverantwoordelijke hiervoor inzet. Ook de verwerkingsverantwoordelijke kan ook de verwerker zijn als deze zelf (een deel van) de persoonsgegevens verwerkt.
Deze informatie kan een warrig beeld schetsen, daarom hebben we hieronder een voorbeeld opgenomen:
Je neemt een nieuwsbriefabonnement bij het dagblad AD. Hiervoor geef je je naam, e-mailadres, adresgegevens en betaalgegevens op. Het AD ontvangt deze, slaat deze op en deelt de adresgegevens en naam met een derde partij zodat deze het dagblad kan afleveren. De derde partij, bijvoorbeeld PostNL, is een verwerker van persoonsgegevens. Deze gebruikt persoonsgegevens om namens het AD een deel van de dienst uit te voeren.
Het AD is in dit voorbeeld de verwerkingsverantwoordelijke en samen met PostNL de verwerkers. De verwerkingsverantwoordelijke (AD) en de verwerker (PostNL) hebben duidelijke afspraken gemaakt over de verwerking van de persoonsgegevens, zoals wat er met de persoonsgegevens gedaan mag worden. Deze afspraken staan in de verwerkersovereenkomst tussen deze partijen. De Autoriteit Persoonsgegevens heeft op hun website duidelijke richtlijnen geplaatst over de toepassing van een verwerkersovereenkomst.
Het verschil tussen de verwerkingsverantwoordelijke en verwerker
De verwerkingsverantwoordelijke draagt de verantwoordelijkheid voor dat de verwerking van de persoonsgegevens gebeurt zoals wettelijk gezien moet. Er is meestal slechts een verwerkingsverantwoordelijke, behalve wanneer er een uitzonderlijke duale constructie is. De verwerkingsverantwoordelijke kan zelf ook persoonsgegevens verwerken, in dat geval is de verwerkingsverantwoordelijke ook de verwerker. Zodra de verwerkingsverantwoordelijke persoonsgegevens overdraagt aan een derde partij zijn ze alsnog verantwoordelijk voor de goede verwerking van de persoonsgegevens overeenkomstig met de Algemene Verordening Gegevensbescherming (AVG).
De verwerker is iedere partij die persoonsgegevens verwerkt. Er kunnen meerdere verwerkers zijn van persoonsgegevens. Deze partij hoeft niet per se de gegevens te ontvangen van de betreffende persoon. Het is ook mogelijk dat deze namens een partij de persoonsgegevens verwerkt. In dat geval verwerkt de verwerker de persoonsgegevens zoals is afgesproken in de verwerkersovereenkomst.
Conclusie
Een verwerkingsverantwoordelijke is verantwoordelijke voor de goede verwerking van persoonsgegevens. De partij die daadwerkelijk de persoonsgegevens verwerkt is de verwerker. Als dit een derde partij is hoort de verwerkingsverantwoordelijke duidelijke afspraken te maken over de verwerkingen van persoonsgegevens. Deze afspraken staan in de verwerkersovereenkomst. Een verwerkingsverantwoordelijke kan ook een verwerker zijn als deze zelf persoonsgegevens verwerkt.
Blijf up-to-date over de verwerking van persoonsgegevens en andere interessante informatie over privacyrecht!
Bij Juristenblog.nl proberen we zo adequaat mogelijk te informeren over alles wat met privacyrecht te maken heeft. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen over privacyrecht in de gaten!
Je persoonsgegevens, je gebruikt deze voor alles in het dagelijkse leven. Je stelt je voor aan een vreemde, je vult je adres in op een website om een bestelling te plaatsen en je geeft je werkgever jouw telefoonnummer. Maar wat gebeurt er als de website jouw persoonsgegevens zomaar weggeeft en je ineens mailtjes krijgt van onbekende bedrijven? Wie is er verantwoordelijk voor het feit dat jouw persoonsgegevens veilig blijven en wie mag ze gebruiken? De verwerkingsverantwoordelijke is hiervoor verantwoordelijk, maar dit is misschien niet de enige verwerker die jouw gegevens heeft.
Welke handelingen zijn een verwerking van persoonsgegevens?
Om te verduidelijken waar we het over hebben met verwerkingsverantwoordelijke en verwerker, moeten we eerst verduidelijken wat een verwerking is van persoonsgegevens. Je verwerkt persoonsgegevens wanneer je:
- Persoonsgegevens opslaat, bijvoorbeeld wanneer je een mailtje ontvangt en deze in het postvak laat staan of een document met persoonsgegevens op de harde schijf plaatst;
- Persoonsgegevens gebruikt, bijvoorbeeld voor taken op het werk of in marketingactiviteiten;
- Persoonsgegevens deelt, bijvoorbeeld door ze online te zetten of aan een derde partij te geven;
- Persoonsgegevens inziet, bijvoorbeeld wanneer je inkijk krijgt in het klantenbestand van een bedrijf.
De voorgenoemde voorbeelden zijn voornamelijk digitale verwerkingen. De fysieke tegenhangers zijn evengoed voorbeelden van verwerkingen van persoonsgegevens.
Wat is een verwerkingsverantwoordelijke of verwerker?
De verwerkingsverantwoordelijke is vaak de eerste partij die de persoonsgegevens ontvangt. Je geeft je persoonsgegevens aan deze partij voor een reden, bijvoorbeeld zodat je je pakketje kan ontvangen. De partij waarmee je afspraken maakt en je persoonsgegevens deelt is de verwerkingsverantwoordelijke.
Iedere partij die jouw persoonsgegevens werkt is een verwerker, waaronder derde partijen die de verwerkingsverantwoordelijke hiervoor inzet. Ook de verwerkingsverantwoordelijke kan ook de verwerker zijn als deze zelf (een deel van) de persoonsgegevens verwerkt.
Deze informatie kan een warrig beeld schetsen, daarom hebben we hieronder een voorbeeld opgenomen:
Je neemt een nieuwsbriefabonnement bij het dagblad AD. Hiervoor geef je je naam, e-mailadres, adresgegevens en betaalgegevens op. Het AD ontvangt deze, slaat deze op en deelt de adresgegevens en naam met een derde partij zodat deze het dagblad kan afleveren. De derde partij, bijvoorbeeld PostNL, is een verwerker van persoonsgegevens. Deze gebruikt persoonsgegevens om namens het AD een deel van de dienst uit te voeren.
Het AD is in dit voorbeeld de verwerkingsverantwoordelijke en samen met PostNL de verwerkers. De verwerkingsverantwoordelijke (AD) en de verwerker (PostNL) hebben duidelijke afspraken gemaakt over de verwerking van de persoonsgegevens, zoals wat er met de persoonsgegevens gedaan mag worden. Deze afspraken staan in de verwerkersovereenkomst tussen deze partijen. De Autoriteit Persoonsgegevens heeft op hun website duidelijke richtlijnen geplaatst over de toepassing van een verwerkersovereenkomst.
Het verschil tussen de verwerkingsverantwoordelijke en verwerker
De verwerkingsverantwoordelijke draagt de verantwoordelijkheid voor dat de verwerking van de persoonsgegevens gebeurt zoals wettelijk gezien moet. Er is meestal slechts een verwerkingsverantwoordelijke, behalve wanneer er een uitzonderlijke duale constructie is. De verwerkingsverantwoordelijke kan zelf ook persoonsgegevens verwerken, in dat geval is de verwerkingsverantwoordelijke ook de verwerker. Zodra de verwerkingsverantwoordelijke persoonsgegevens overdraagt aan een derde partij zijn ze alsnog verantwoordelijk voor de goede verwerking van de persoonsgegevens overeenkomstig met de Algemene Verordening Gegevensbescherming (AVG).
De verwerker is iedere partij die persoonsgegevens verwerkt. Er kunnen meerdere verwerkers zijn van persoonsgegevens. Deze partij hoeft niet per se de gegevens te ontvangen van de betreffende persoon. Het is ook mogelijk dat deze namens een partij de persoonsgegevens verwerkt. In dat geval verwerkt de verwerker de persoonsgegevens zoals is afgesproken in de verwerkersovereenkomst.
Conclusie
Een verwerkingsverantwoordelijke is verantwoordelijke voor de goede verwerking van persoonsgegevens. De partij die daadwerkelijk de persoonsgegevens verwerkt is de verwerker. Als dit een derde partij is hoort de verwerkingsverantwoordelijke duidelijke afspraken te maken over de verwerkingen van persoonsgegevens. Deze afspraken staan in de verwerkersovereenkomst. Een verwerkingsverantwoordelijke kan ook een verwerker zijn als deze zelf persoonsgegevens verwerkt.
Blijf up-to-date over de verwerking van persoonsgegevens en andere interessante informatie over privacyrecht!
Bij Juristenblog.nl proberen we zo adequaat mogelijk te informeren over alles wat met privacyrecht te maken heeft. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen over privacyrecht in de gaten!
Over Juristenblog.nl
Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.
Gerelateerde berichten
Schrijf je in & Blijf op de hoogte
Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.
We spammen niet. Je kunt je op ieder moment uitschrijven.