De Privacy Baseline/Zelf persoonsgegevens verwerken of uitbesteden
Zelf persoonsgegevens verwerken of uitbesteden
Als we persoonsgegevens verwerken om een bepaald doel te bereiken, dan moeten we vaststellen of we dat doen in de rol van verwerkingsverantwoordelijke of verwerker. Een verwerkingsverantwoordelijke bepaalt zelf het doel van en de middelen voor de betreffende verwerking(en) van persoonsgegevens; een verwerker verwerkt persoonsgegevens in opdracht van of ten behoeve van een verwerkingsverantwoordelijke. Deze rollen kunnen samenvallen; een organisatie kan ook ervoor kiezen (bepaalde) persoonsgegevens niet zelf te verwerken (inclusief de keuze om (bepaalde) persoonsgegevens niet zelf te verzamelen en op te slaan).
Bij het uitbesteden van een verwerking of bij het verwerken van persoonsgegevens van een andere partij moeten afspraken worden gemaakt tussen de verwerkingsverantwoordelijke en de verwerker (AVG art. 28, lid 3 en verder). Deze afspraken kunnen worden vastgelegd in een overeenkomst, die we in deze Privacy Baseline de 'verwerkersovereenkomst' zullen noemen. Dit is een gangbare, maar geen officiële term uit de Avg.
De afspraken kunnen ook volgen uit een andere rechtshandeling krachtens Unierecht of lidstatelijke recht. Van belang is dat onder meer verantwoordelijkheden worden benoemd, bijvoorbeeld bij wie de regie berust en waar betrokkenen een aanspreekpunt kunnen vinden met betrekking tot de verwerking. In een verwerkersverhouding tussen twee overheidsinstanties ligt het eerder voor de hand om deze afspraken in nadere regelgeving te vast te leggen dan in een overeenkomst. Wanneer twee overheden privaatrechtelijk onder dezelfde rechtspersoon vallen, dan is het contractrechtelijk zelfs onmogelijk om afspraken middels een overeenkomst vast te leggen.
Bij gegevensuitwisseling tussen twee verwerkingsverantwoordelijken is het eveneens aan te bevelen een overeenkomst te sluiten waarin de betrokken partijen afspraken over de gegevensdeling vastleggen, bijvoorbeeld dat de deling van de gegevens rechtmatig is en veilig plaatsvindt. Er moet altijd een geldige grondslag zijn voor het verwerken van de persoonsgegevens: uiteraard geldt dit ook voor de verwerking ten behoeve van een ander doel. De ontvangende partij is zelf verantwoordelijk voor de technische en organisatorische maatregelen die voor de beveiliging van de gegevens nodig zijn.