Samenwerkingsverbanden en de AVG

Vergelijkbare documenten
Verwerkingsverantwoordelijke of verwerker?

Factsheet. Verwerkingsverantwoordelijke of verwerker?

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen

1. Algemeen. Gegevensbescherming

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen. 3e Concept

Hoe omgaan met verwerkers?

oprichting van de Gegevensbeschermingsautoriteit, Advies nr. 126/2018 van 7 november 2018

Rechten van Betrokkenen

Verwerkersovereenkomst INTRAMED ONLINE

Samenwerkingsverbanden en de AVG

Verwerkersovereenkomst Oefenen.nl Bijlage 3 bij de Licentieovereenkomst

Privacyreglement Medewerkers Welzijn Stede Broec

Privacy Statement Sa4-zorg

Eén verantwoordelijke

Gegevensverwerking. Artikel 1 - Definities

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Bijlage Gegevensverwerking. Artikel 1 - Definities

Clausules betreffende de verwerking van persoonsgegevens

De Partijen: overwegende, dat:

Verwerkersovereenkomst

Privacyreglement VESTEN VAKLUI B.V.

Voorwaarden voor Gegevensverwerking Versie 1.0

AVG OVEREENKOMST GEGEVENSVERWERKING TUSSEN TWEE VERANTWOORDELIJKEN

PRIVACYBELEID - AccFides

PRIVACYVERKLARING (samengevat)

Verwerkersovereenkomst

BIJLAGE - VERWERKING PERSOONSGEGEVENS (VERWERKERSOVEREENKOMST)

GEGEVENSVERWERKINGSOVEREENKOMST

Phytalis-Verwerkersovereenkomst

AVG Algemeen PRIVACYREGLEMENT

VERWERKEN VAN PERSOONSGEGEVENS

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacyverklaring voor de gemeentelijke website

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

in aanmerking nemende dat

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Privacyverklaring Teleson B.V. Versie 1.2, 22 mei 2018

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

VERWERKERSOVEREENKOMST

Diessen, 13 februari 2018

Algemene verordening gegevensbescherming (AVG)

MODEL BEWERKERSOVEREENKOMST MEERLANDEN

Gelet op de adviesaanvraag van de heer André Antoine, voorzitter van het Waals Parlement, ontvangen op 4 april 2019;

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

VERWERKERSOVEREENKOMST

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Verwerkersvoorwaarden

Chodsky Pes Club Nederland

Verwerkersovereenkomst

Verwerkersovereenkomst Meestermodel

BIJLAGE: VERWERKING PERSOONSGEGEVENS. Indien - Trends ICT bv - Trends IT - Technetworks bv

Privacy dit moet je weten over de wet

Vandaag Zorgvernieuwing

GROEP GEGEVENSBESCHERMING ARTIKEL 29

MODEL BEWERKERSOVEREENKOMST voor afvalverwerking DE ONDERGETEKENDEN

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Privacy statement Nederlandse Triage Standaard

PRIVACYVERKLARING. Welkom!

Voorbeeld privacybeleid

FACTSHEET VERWERKINGSREGISTER

Verwerkersovereenkomst

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Richtlijn

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Nieuwsbrief AVG Social Profit

Collegevoorstel. Zaaknummer Nieuwe bewerkersovereenkomst IKZ en mandaat

Verwerkersovereenkomst

Privacy Statement I Verwerkingsovereenkomst

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

PRIVACYVERKLARING. Welkom!

Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Stichting Pensioenfonds Recreatie. Privacyreglement

MR WBM VONDENHOFF ADVOCAAT

PRIVACYVERKLARING 1. WERKINGSSFEER

VERWERKERSOVEREENKOMST

Verwerkersovereenkomst voor SaaS-diensten

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

In deze Voorwaarden voor Gegevensverwerking geldt dat:

Privacy Verklaring VVV Zuid-Limburg / Ticketshop Limburg

Privacy ondersteuning VNG/KING/IBD

VERWERKING VAN PERSOONSGEGEVENS

Verwerkersovereenkomst Duurza.am

Privacy wetgeving: Wat verandert er in 2018?

Verwerkersovereenkomst

Wettelijke kaders voor de omgang met gegevens

Ingangsdatum: March 07, 2019

PRIVACYVERKLARING FEYENOORD CITY. Bij het verwerken van persoonsgegevens neemt Feyenoord City altijd de volgende beginselen in acht:

Bijlage 1: AVG SAMENWERKINGSOVEREENKOMST. De betrokken partijen:

Verwerkersovereenkomst

PRIVACY VOORWAARDEN. Pagina 1 6

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Bijlage: Verwerkersovereenkomst

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

IBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Verwerkersovereenkomst

Transcriptie:

Realisatie Handreiking Samenwerkingsverbanden en de AVG Deel 1 - Verwerkingsverantwoordelijke

Inhoudsopgave 1 Inleiding...3 2 Verwerkingsverantwoordelijke...4 2.1 Wat zegt de AVG?...4 2.2 Wat betekent dit?...4 2.2.1 Vaststelt...4 2.2.2 Het doel van - en de middelen voor de verwerking...5 2.2.3 De natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of een ander orgaan...5 2.2.4 Die/dat, alleen of tezamen met anderen...5 3 Gemeenschappelijke Regeling: verwerkingsverantwoordelijke of verwerker?...7 3.1 Overwegingen, analyse en conclusies...7 Colofon Deze handreiking is mede tot stand gekomen door een samenwerking van onder andere VNG, VNG Realisatie, de Informatie Beveiligingsdienst (IBD) en Kenniscentrum Europa Decentraal. Voor meer informatie en vragen verwijzen we u naar de websites vng.nl en vngrealisatie.nl/privacy. Indien u naar aanleiding van dit document nog vragen heeft, of advies wilt over de Wbp, AVG of privacy in het algemeen kunt u deze stellen via privacy@vng.nl Vereniging van Nederlandse Gemeenten, Den Haag, januari 2018 2 VNG Realisatie

1 Inleiding Het eerste deel van deze handreiking Samenwerkingsverbanden en de AVG gaat in op het begrip verwerkingsverantwoordelijke en hoe je bepaalt wie als verwerkingsverantwoordelijke kan of moet worden aangemerkt. De verwerkingsverantwoordelijke is verantwoordelijk (en aansprakelijk) voor de (niet) naleving van de regelgeving met betrekking tot gegevensbescherming en voor de manier waarop betrokkenen in de praktijk hun rechten kunnen uitoefenen. Het bepalen van de verwerkingsverantwoordelijke is daarnaast van belang om vast te kunnen stellen welk nationaal recht van toepassing is en voor de daadwerkelijke uitoefening van de toezichthoudende taken door de Autoriteit Persoonsgegevens. Door organisatiedifferentiatie, ICT-ontwikkelingen en mondialisering van de gegevensverwerking wordt het steeds lastiger om eenduidig vast te stellen welke natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Gemeenten werken op meerdere beleidsterreinen, in verschillende bedrijfsfuncties, in diverse rollen en hoedanigheden samen met (mede) overheden en private organisaties. Het is niet altijd op voorhand duidelijk waar ieders verantwoordelijkheid begint en ophoudt, in welke mate men verantwoordelijk is, waar een betrokkene terecht kan voor informatie of met een verzoek om correctie of wissing, etc. Voor de gemeentelijke samenwerkingspraktijk is het daarom van belang de verantwoordelijkheden ten aanzien van doelen, middelen en de mate waarin men voor elk van deze onderdelen verantwoordelijk en uiteindelijk ook aansprakelijk is, helder in beeld te hebben en daar onderling goede afspraken over te maken. VNG Realisatie 3

2 Verwerkingsverantwoordelijke 2.1 Wat zegt de AVG? De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Als de doelstellingen van en de middelen voor de verwerking in het Unie- of nationaal recht wordt vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria de verwerkingsverantwoordelijke wordt aangewezen. 2.2 Wat betekent dit? De relevante onderdelen van de definitie in de AVG 1 om te bepalen wie als verwerkingsverantwoordelijke moet worden aangemerkt worden hierna toegelicht: 1. Vaststelt 2. "Het doel van en de middelen voor de verwerking" 3. "Een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan" 4. "Die/dat, alleen of samen met anderen" 2.2.1 Vaststelt De natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat doel en middelen vaststelt kan op drie manieren worden bepaald: 1. Uitdrukkelijke juridische bevoegdheid a. waarbij de verantwoordelijke is vastgelegd in wetgeving; b. waarbij de criteria voor het bepalen van de verantwoordelijke wettelijk zijn bepaald; c. waarbij de verantwoordelijkheid volgt uit een wettelijke taak. 2. Impliciete bevoegdheid a. afgeleid uit algemeen geldend recht of vaste juridische praktijken; b. de bevoegdheid vloeit voort uit aard der zaak of de functionele rol van de (private) organisatie; Bijvoorbeeld: werkgever die personeelsgegevens verwerkt, uitgever die gegevens van abonnees verwerkt. 3. Feitelijke invloed a. verantwoordelijkheid toegewezen op grond van feitelijke omstandigheden en begint bij beoordeling van contractuele verhoudingen tussen partijen; b. mogelijke conclusies: verantwoordelijkheid ligt bij één of bij meer partijen; c. als de feitelijke situatie niet aansluit bij de contractuele bepalingen, is het contract niet doorslaggevend en wordt de verantwoordelijkheid bepaald op basis van: i. de mate van feitelijke zeggenschap van een partij; ii. het beeld dat aan betrokkenen wordt geschetst en de redelijke verwachtingen die betrokkenen ontlenen aan deze zichtbaarheid; iii. toewijzing van verantwoordelijkheid bij gebleken onrechtmatige gedragingen. In de gemeentelijke praktijk volgt in de overgrote meerderheid van de gevallen, de verwerkingsverantwoordelijkheid uit een van de eerste twee categorieën. 1 Artikel 4 (7) AVG 4 VNG Realisatie

2.2.2 Het doel van - en de middelen voor de verwerking Het betreft de technische- en organisatorische wijze van verwerken: de middelen waaraan de voorwaarden worden gesteld dat: 1. de doelen er redelijkerwijs mee kunnen worden bereikt; 2. de verwerkingsverantwoordelijke daarvan volledig op de hoogte is. De meest wezenlijke aspecten waaruit de rol als verwerkingsverantwoordelijke blijkt, is zeggenschap over: - Doel en oogmerk van de verwerking; - Welke gegevens worden verwerkt; - Hoe lang gegevens moeten worden verwerkt; - Wanneer gegevens moeten worden gewist; - Welke derden toegang moeten hebben. 2.2.3 De natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of een ander orgaan De AVG gaat er vanuit dat er altijd een effectieve toepassing van de verordening mogelijk is en dat altijd en ondubbelzinnig duidelijk is wie verwerkingsverantwoordelijk is, ongeacht formele aanstelling of openbaarmaking. - De verordening sluit aan bij de huidige praktijk in de verschillende rechtsgebieden, zowel in de private sector als de publieke sector. - Het mandaat van een natuurlijke persoon valt onder verantwoordelijkheid van de onderneming of instantie en treft niet een specifieke persoon. - Activiteiten van een natuurlijke persoon die buiten het kader van de activiteiten van de rechtspersoon en het uitgeoefende toezicht daarop vallen en waarbij bovendien sprake is van voldoende beveiligingsmaatregelen, worden niet toegerekend aan de rechtspersoon. 2.2.4 Die/dat, alleen of tezamen met anderen 1. Door organisatie- en taakdifferentiatie zijn vaak meerdere partijen betrokken bij verschillende verwerkingen of gehelen van verwerkingen. Er zijn bovendien diverse soorten activiteiten die vallen onder de definitie van verwerking en die gelijktijdig kunnen plaatsvinden of over fasen zijn verdeeld. Aspecten die van belang zijn bij het onderzoeken en vaststellen van de verwerkingsverantwoordelijkheid: a. Mate van invloed: verschilt als voor één verwerking een aantal partijen gezamenlijk het doel van - en de middelen 2 voor de te verrichten verwerking vaststelt; b. Mate van betrokkenheid: bij gezamenlijke vaststelling van de doelen en de middelen waarbij de inbreng niet even groot is; c. Intensiteit: de mate waarin diverse partijen bij de verwerking contact of onderlinge relaties hebben. 2. Algemene richtlijnen voor het bepalen van de verwerkingsverantwoordelijkheid a. Beoordeel de gezamenlijke verantwoordelijkheid op dezelfde wijze als de individuele; b. Volg de functionele benadering, gericht op de vraag of doelen en middelen door meer dan één partij worden vastgesteld en toets dit aan de feitelijke omstandigheden; c. Onderken het belang van helder en eenduidig toegewezen rollen en verantwoordelijkheden; d. Er is sprake van gezamenlijke verantwoordelijkheid als verschillende partijen voor specifieke verwerkingen het doel, wezenlijke onderdelen daarvan en de middelen vaststellen, die kenmerkend zijn voor een verwerkingsverantwoordelijke. 2 Denk bij middelen in de eerste plaats aan het bepalen van welke gegevens dienen te worden verwerkt om de doelen te realiseren. VNG Realisatie 5

3. Scenario s a. Afzonderlijke verwerkingsverantwoordelijkheid - Uitwisseling van gegevens tussen twee partijen zonder gedeelde doelen en middelen in een gemeenschappelijk geheel van verwerkingen. b. Medeverantwoordelijkheid - Verschillende partijen stellen gezamenlijk wezenlijke aspecten van te gebruiken middelen vast. Daarbij hoeven ze niet noodzakelijkerwijs dezelfde doelen na te streven c. Meerdere partijen verwerken dezelfde persoonsgegevens na elkaar - Nagaan of de verwerkingen niet moeten worden beschouwd als een geheel van verwerkingen met een gezamenlijk doel of dat gebruik wordt gemaakt van gezamenlijk vastgestelde middelen. d. Deelverantwoordelijkheid - Elke partij is voor een deel van de verwerking verantwoordelijk - Informatie wordt via een platform samengebracht en verwerkt: E-overheidsportaal als schakel tussen overheidsdienst (verantwoordelijke) en burger; Portaal zelf is aan te merken als voor de verwerking verantwoordelijke vanwege het doel de elektronische dienstverlening te bevorderen en aanvragen van burgers te verwerken. e. Sociale netwerken - Gebruikers publiceren informatie en wisselen informatie uit; - Netwerkaanbieders stellen doelen en middelen voor verwerking van informatie vast; - Gebruikers zijn verwerker van persoonsgegevens die zij uploaden, voor zover zij niet onder de vrijstelling voor huishoudelijk gebruik 3 vallen. f. Gezamenlijke verantwoordelijkheid - Meerdere betrokkenen gezamenlijk, stellen slechts een deel van de doelen en middelen vast; - Meerdere betrokkenen stellen gezamenlijk alle doelen van en middelen voor verwerkingsactiviteiten vast en delen deze zodat een volledig gezamenlijke verantwoordelijkheid ontstaat. 4. Tenslotte a. Gezamenlijk handelende partijen hebben een zekere speelruimte bij het verdelen en beleggen van verplichtingen en verantwoordelijkheden onder de voorwaarde dat zij volledige naleving van de regels waarborgen. i. In beginsel stelt de verantwoordelijke de wijze vast waarop de gezamenlijke verantwoordelijkheden worden uitgeoefend. ii. Echter moet naar de feitelijke omstandigheden worden beoordeeld of de regelingen de werkelijkheid weergeven van de onderliggende gegevensverwerking. b. Verwerking is onrechtmatig als sprake is van grote complexiteit, onduidelijkheid over verantwoordelijkheden of gebrek aan transparantie omdat dat een inbreuk is op het beginsel van eerlijke verwerking. c. Partijen zijn gezamenlijk verantwoordelijk en hoofdelijk aansprakelijk als een manier om onduidelijkheid weg te nemen als verplichtingen en verantwoordelijkheden: i. niet duidelijk en effectief zijn belegd; ii. niet duidelijk blijken uit de feitelijke omstandigheden. 3 AVG, Overweging (18) Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. 6 VNG Realisatie

3 Gemeenschappelijke Regeling (GR): verwerkingsverantwoordelijke of verwerker? Met toepassing van wat hiervoor is beschreven kan deze vraag als volgt worden uitgewerkt: 1. De situatie dat een GR bij wet is belast met de verwerking van persoonsgegevens doet zich in de Nederlandse praktijk sporadisch voor. 2. Bepaalde overheidstaken zijn bij wet bij de GR belegd waaruit de verantwoordelijkheid voortvloeit. De verwerkingsverantwoordelijkheid kan ook volgen uit de functionele rol van de GR, zoals de rol van werkgever. 3. Vaak blijkt de verantwoordelijkheid van de GR uit de feitelijke invloed op de vaststelling van doel van en middelen voor de verwerking van persoonsgegevens. 3.1 Overwegingen, analyse en conclusies - De GR voert doorgaans taken uit die bij wet aan de deelnemers zijn toegekend en daarna via mandaat of delegatie aan de GR worden opgedragen. - Gevallen waarin een wettelijke bevoegdheid rechtstreeks bij een GR worden belegd komen bij uitzondering voor (denk aan de Metropoolregio s die OV-concessies verlenen). - De verantwoordelijkheid van de GR kan voortvloeien uit de functionele rol, waarvan met name sprake is als de GR rechtspersoonlijkheid heeft. Denk aan het verwerken van personeelsgegevens als werkgever en als partij bij het sluiten van overeenkomsten waarbij persoonsgegevens worden verwerkt. - Als via machtiging, mandaat of delegatie taken en bevoegdheden van de deelnemers bij de GR zijn belegd, moet worden nagegaan op welke wijze en in welke mate de GR feitelijk invloed heeft op het doel van de verwerking en de middelen waarmee de verwerking wordt uitgevoerd. Dus wie stelt het doel vast en wie stelt vast welke persoonsgegevens worden verwerkt, wie krijgt toegang, etc.? - Bij mandaat en machtiging oefent de GR bevoegdheden uit namens de deelnemers. De deelnemers zijn in beginsel verwerkingsverantwoordelijk; Als de GR feitelijk invloed heeft en bijvoorbeeld mede bepaalt welke gegevens verwerkt worden, etc kan sprake zijn van medeverantwoordelijkheid; Heeft de GR die invloed niet, dan is zij verwerker. - Bij delegatie is de GR zelfstandig bevoegd om de overgedragen taken en verantwoordelijkheden uit te oefenen en is zij bestuurlijk verantwoordelijk. Hoewel het dan in de rede ligt de GR als verwerkingsverantwoordelijke aan te merken, moet ook in die situatie goed worden gekeken naar de feitelijke situatie. De deelnemers kunnen bijvoorbeeld alleen de uitvoerende taken bij de GR hebben belegd, maar zelf in instructies, verordeningen en beleidsregels het doel van en de middelen voor de werking geheel of gedeeltelijk hebben vastgesteld. In dat geval blijven de deelnemers verwerkingsverantwoordelijk en is de GR verwerker. Echter kan in een dergelijke situatie ook sprake zijn van gezamenlijke verantwoordelijkheid. VNG Realisatie 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback