Rollen
Het verwerkingsproces van persoonsgegevens kent verschillende rollen. Als een organisatie alleen voor eigen doeleinden gegevens verwerkt, zonder betrokkenheid van derden, is het helder dat de verantwoordelijkheid hiervoor bij de organisatie zelf ligt. Dit is bijvoorbeeld het geval bij een vereniging die een ledenadministratie bijhoudt. Maar in veel gevallen zijn er meerdere partijen betrokken bij de gegevensverweking. Denk bijvoorbeeld aan het uitbesteden van de salarisadministratie. Omdat de verschillende rollen verschillende verantwoordelijkheden met zich meebrengen, is er onderscheid gemaakt in twee rollen: de verwerkingsverantwoordelijke (datacontroller) en de verwerker (dataprocessor).
Verwerkingsverantwoordelijke
De letterlijke definitie hiervan is volgens de AVG: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.’
De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt. Simpel gezegd is een verwerkingsverantwoordelijke degene ten behoeve van wie de gegevens worden verwerkt. Voorbeelden hiervan zijn: een voetbalvereniging die een ledenbestand bijhoudt, maar ook een bouwbedrijf dat een klantenbestand en een personeelsbestand bijhoudt.
Elke verwerking van persoonsgegevens heeft altijd in ieder geval één verantwoordelijke. Maar het kan ook zijn dat een verwerking meerdere verantwoordelijken heeft: dan is er sprake van gezamenlijke verantwoordelijkheid.
Verwerkingsverantwoordelijken kunnen ook een deel van de verwerking uitbesteden aan een andere partij, de verwerker. Een verwerkingsverantwoordelijke kan ook meerdere verwerkers hebben, die verschillende onderdelen van een verwerking uitvoeren. Bijvoorbeeld het uitbesteden van de personeelsadministratie en de salarisadministratie aan verschillende partijen.
Verwerker
De letterlijke definitie die de AVG hanteert: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’
Een verwerker is degene die in opdracht van en ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. Een verwerker heeft dus altijd een verwerkingsverantwoordelijke. Een verwerker kan ook zelf weer verwerkers inschakelen voor een deel van het verwerkingsproces (subverwerkers). Zo kan een bedrijf dat ten behoeve van een ander bedrijf (verwerkingsverantwoordelijke) de personeels- en salarisadministratie doet, de salarisadministratie weer uitbesteden aan een subverwerker. Voor het inschakelen van een subverwerker is toestemming van de verwerkingsverantwoordelijke nodig. Het is vervolgens aan de verwerker om ervoor te zorgen dat de subverwerker zich aan de afspraken houdt die de verwerker met de verwerkingsverantwoordelijke is overeengekomen.
Er is dus bij elke verwerking van persoonsgegevens in ieder geval een verwerkingsverantwoordelijke betrokken, maar niet elke verwerking heeft ook een verwerker.
Voorbeeld: wanneer u uw boekhouding uitbesteedt, dan bent u in dit geval de verwerkingsverantwoordelijke en is uw boekhouder de verwerker.
Verwerkersovereenkomst
Een verwerkingsverantwoordelijke die gegevensverwerking uitbesteed, hoort vast te stellen of de ingeschakelde verwerker wel aan de wettelijke eisen voldoet, en zal hier afspraken over moeten maken. Deze afspraken moeten schriftelijk worden vastgelegd in een verwerkersovereenkomst.
Het hebben van een dergelijke overeenkomst alleen is niet voldoende. De verwerkingsverantwoordelijke dient ook met enige regelmaat te controleren of de verwerker zich aan de gemaakte afspraken houdt.
Betrokkene
De betrokkene is degene op wie de persoonsgegevens betrekking hebben. Het is dus degene die beschermd wordt met deze wetgeving.