Er zijn veel wijdverspreide misverstanden met betrekking tot privacy. Dit leidt regelmatig tot discussie. Zo is er vaak onenigheid over de vraag wie nu eigenlijk ‘eigenaar’ is van bepaalde (persoons)gegevens.
Dit hangt dan weer vaak samen met de vraag wie van partijen “verantwoordelijke” en “bewerker” is in de zin van de Wet bescherming persoonsgegevens (Wbp). Het onderscheiden van deze rollen is relevant voor de vraag of en wanneer bewerkersovereenkomsten moeten worden gesloten. Met deze bijdrage hoop ik deze misverstanden uit de weg te ruimen.
Data-eigenaar
Vaak vragen partijen zich af wie ‘eigenaar’ is van gegevens/data (waaronder persoonsgegevens) en wie dus mag bepalen wat daarmee gebeurt. Vanuit het normale spraakgebruik is het begrijpelijk om te spreken over een “eigenaar” van gegevens/data, maar juridisch klopt dat niet.
Data is juridisch niet iets wat je in eigendom kan hebben. Persoonsgegevens – die ook data zijn – hebben strikt genomen dus ook geen eigenaar. De Wbp heeft het dan ook niet over de ‘eigenaar’ van persoonsgegevens, maar over de ‘verantwoordelijke’ die persoonsgegevens verwerkt. In het kader van de verwerking van persoonsgegevens bepaalt de verantwoordelijke dan ook het doel van de gegevensverwerking en de middelen waarmee die gegevens worden verwerkt. Daarbij moet de verantwoordelijke zich uiteraard houden aan de gestelde vereisten in de Wbp en dient hij de rechten van de betrokkene(n) te respecteren.
‘Verantwoordelijke’ vs. ‘Bewerkers’: de bewerkersovereenkomst
Naast de verantwoordelijke kan er volgens de Wbp ook nog sprake zijn van een ‘bewerker’ van persoonsgegevens. De bewerker is een partij die voor de verantwoordelijke persoonsgegevens verwerkt, maar niet onder rechtstreeks gezag van de verantwoordelijke valt. De bewerker bepaalt niet het doel van de verwerking van persoonsgegevens en ook niet de middelen waarmee dat gebeurt. Dat bepaalt alleen de verantwoordelijke.
Dit onderscheid is van groot belang, maar niet altijd duidelijk te maken. Er kunnen namelijk ook meerdere verantwoordelijken zijn. Bovendien zijn opdrachtnemers (zoals accountants) niet per definitie bewerkers. Dat hangt, onder andere, af van hun rol en de vrijheid die zij hebben bij de invulling daarvan.
Alleen als in een relatie tussen partijen sprake is van een verantwoordelijke en een bewerker, zijn partijen (op grond van de Wbp) verplicht een bewerkersovereenkomst te sluiten. Als beide partijen echter als verantwoordelijke moeten worden aangemerkt, dan zijn ze dus niet verplicht een bewerkersovereenkomst te sluiten. Sterker nog, als partijen dan toch een bewerkersovereenkomst sluiten, die dus niet aansluit bij hun werkelijke juridische verhouding, dan regelen ze niet wat ze eigenlijk hadden moeten regelen. Dit kan verwarrend zijn en maakt zaken onnodig gecompliceerd.
Op grond van de Wbp zijn gezamenlijk verantwoordelijken onderling niet verplicht om een overeenkomst te sluiten over de verdeling van hun verplichtingen. Op grond van de Algemene Verordening Gegevensverwerking (AVG) hebben gezamenlijk verantwoordelijken echter wel de plicht om heldere afspraken met elkaar te maken. Dat kan door middel van een privacyverklaring of een dataleveringsovereenkomst.
Zorg voor een goede overeenkomst
Kortom, de ‘data-eigenaar’ bestaat niet. Tegelijkertijd is het dus niet altijd direct duidelijk of iemand verantwoordelijke of bewerker is. Het is goed mogelijk dat er meerdere verantwoordelijken zijn, afhankelijk van hoe de onderlinge verhoudingen eruit zien. Zorg in ieder geval voor een overeenkomst die past bij de daadwerkelijke juridische verhouding van partijen.