Over het bepalen van de privacypositie van partijen
Hebben we een verwerkersovereenkomst nodig? Dat is in de praktijk vaak het moment waarop partijen gaan nadenken over een hun privacyrechtelijke rol. Als ze dat al doen. Soms wordt vanuit automatisme een verwerkersovereenkomst afgesloten. "Want dan is de privacy compliance goed ingeregeld." Maar niets is minder waar. Een verwerkersovereenkomst is alleen compliant wanneer een zogeheten verwerkingsverantwoordelijke een verwerking van persoonsgegevens uitbesteedt aan een verwerker. In andere gevallen dien je juist geen verwerkersovereenkomst overeen te komen. Mogelijk heb je wel een andersoortige gegevensverwerkingsovereenkomst nodig, zoals een Joint Controller Agreement. Dat is vereist wanneer twee of meer partijen gezamenlijk verwerkingsverantwoordelijk zijn voor een verwerking. Maar hoe bepaal je dat? In de huidige digitale samenleving, vinden we eindeloze schakels in de keten van dienstverleners en betrokken onderaannemers. Wat vroeger werd gezien als een 'complexe situatie', vormt tegenwoordig de standaard. Juist dan, is het van belang om duidelijk in beeld te hebben hoe je de privacypositie van partijen bepaalt: wie de (gezamenlijke) verwerkingsverantwoordelijke(n) is of zijn, en wie de verwerker(s). Want als je daar de mist in gaat, sluit je niet alleen de verkeerde overeenkomst, maar is ook onduidelijk welke partij aan welke verplichtingen moet voldoen uit de Algemene Verordening Gegevensbescherming ((EU) 2016/679; AVG). Dan is de kans groot dat alle betrokken partijen, met de beste bedoelingen en vele (sub-)verwerkersovereenkomsten verder, toch non-compliant zijn. Om dat te voorkomen, zetten wij in dit artikel puntsgewijs de criteria uiteen voor het bepalen van de privacypositie van een partij, onder verwijzing naar actuele publicaties van de toezichthouders, besluiten van de Autoriteit Persoonsgegevens (AP) en uitspraken van rechters.