image

Juridische vraag: Wanneer ben je onder de AVG daadwerkelijk een verwerker van persoonsgegevens?

woensdag 27 maart 2019, 13:12 door Arnoud Engelfriet, 4 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: In 2018 schreef je over verwerkerschap bij een derde partij zoals een ICT-beheerder. Je zei dat je geen verwerkersovereenkomst hoeft te sluiten met zo'n partij wanneer deze partij expliciet geen toegang wil hebben tot persoonsgegevens. Wat zou die partij dan wel mogen (of moeten) doen als hij toch persoonsgegevens krijgt? Iedere handeling daarmee is een verwerking, dus moet er dan toch alsnog gauw een verwerkersovereenkomst komen?

Antwoord: Het klopt dat je aan het verwerken bent als je persoonsgegevens langs ziet komen. Zelfs de enkele handeling van het wissen daarvan, is naar de letter van de AVG een verwerking. Maar persoonsgegevens verwerken wil niet zeggen dat je een verwerker bent.

Een verwerker ben je als je in opdracht persoonsgegevens verwerkt waar de opdrachtgever verwerkingsverantwoordelijke voor is. Die ander bepaalt het doel (dit moet je doen) en kiest de middelen (of tekent daarvoor af). Dat is de wettelijke definitie. Mijn salarisadministrateur is dus een verwerker, en mijn cloud-mailprovider is dat ook. Beiden doen wat ik zeg dat ze moeten doen met de persoonsgegevens van mijn personeel en klanten.

Wie data tegenkomt buiten een opdracht, is dan ook per definitie geen verwerker. Volgens de AVG ben je dan zelf verwerkingsverantwoordelijke, oftewel je bepaalt zelf wat je er mee mag en moet. En dat is in dit geval heel simpel: je hebt geen grondslag om die gegevens te mogen hebben, dus moet je ze vernietigen. (De grondslag voor die vernietiging is dan ook de wettelijke plicht, artikel 6 sub c AVG.)

Ik twijfel nog of je als beheerder in zo'n situatie van een voor jou meldingsplichtig datalek moet spreken. Jij hebt immers geen geschonden beveiliging, zodat jij geen datalek hebt veroorzaakt. Maar je had wel data onder je op een plek waar die niet hoorde te zijn. Het meest logisch lijkt me echter dat je onmiddellijk de 'echte' verantwoordelijke in kennis stelt, waarna die wettelijk verplicht het lek zal moeten melden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (4)
28-03-2019, 15:05 door Anoniem
Wat met een partij die onderhoud/beheer doet aan jouw systemen, of die in het kader van een helpdesk-functie jouw pc overneemt?

Hun opdracht is niet in se de gegevens verwerken, het is een bijkomstigheid. Geen verwerker?
29-03-2019, 07:58 door Anoniem
Door Anoniem: Wat met een partij die onderhoud/beheer doet aan jouw systemen, of die in het kader van een helpdesk-functie jouw pc overneemt?

Hun opdracht is niet in se de gegevens verwerken, het is een bijkomstigheid. Geen verwerker?

Tuurlijk een verwerker, ze vragen met die ze spreken, etc etc
Maken im dit geval verbinding dus ip, etc als persoonsgegeven....

(het is bijna 1 jaar later, stellen we nubecht de vraagvwat een verwerker is?)
31-03-2019, 08:05 door Anoniem
En waar past de term ‘intern beheer’ genoemd in de handleiding AVG van de AP (of eigenlijk JenV die het document hebben laten opstellen). Daarnaast lijkt de term middelen in het stukje te zijn beperkt tot “welke persoongegeven” en niet bijvoorbeeld de computersystemen of andere zaken dit je onder middelen kan verstaan, hoe moeten we dit interpreteren?
01-04-2019, 16:06 door Anoniem
Door Anoniem:
(het is bijna 1 jaar later, stellen we nubecht de vraagvwat een verwerker is?)

Absoluut, er is nog veel onduidelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.