De actoren


1.0 Inleiding

De actoren die we kennen vanuit de Wbp, blijven ook bestaan (zij het met een andere benaming) onder de AVG. Het is vooral van belang te beseffen dat de rechten en plichten van de actoren verandert, hetgeen weer van invloed is op de relatie van de actoren onderling.

Te behandelen onderwerpen:
– De verantwoordelijke
– De verwerker
– De betrokkene
– De functionaris gegevensbescherming
– De Autoriteit Persoonsgegevens

 

2.0 De verantwoordelijke

De verwerkingsverantwoordelijke (Wbp: verantwoordelijke) stelt de doelen en middelen van de verwerking vast. Deze positie zorgt ervoor dat verantwoordelijke zich dient in te spannen voor al hetgeen met die verwerking verband houdt, bijvoorbeeld:

– Er moeten goede afspraken met de verwerker worden gemaakt.
– De betrokkene moet goed worden geïnformeerd.
– Er moet toestemming worden gevraagd voor bepaalde verwerkingen.
– Het kan voorkomen dat een register met verwerkingsactiviteiten of een Privacy Impact Assessment (PIA) moet worden opgesteld.

De plichten staan niet in één bepaling van de AVG opgesomd. De verwerkingsverantwoordelijke doet er dus goed aan om zich te (laten) informeren over de verantwoordelijkheden.

3.0 De verwerker

De verwerker (Wbp: bewerker) is degene die ten behoeve van de verantwoordelijke gegevens verwerkt. Hierbij kunt u denken aan de volgende situatie:

Een verwerkingsverantwoordelijke wil graag meer weten over de ervaringen van zijn klanten (doel) en beslist dat een online enquête (middel) daarvoor kan worden ingezet. De verwerkingsverantwoordelijke neemt hiervoor contact op met een online enquêteur. De klanten van de verwerkingsverantwoordelijke zullen nu hun meningen delen met de online enquêteur. De online enquêteur is dan een verwerker die ten behoeve van de opdrachtgever de gegevens zal verwerken.

Hoe de verwerking moet plaatsvinden (aan welke voorwaarden de verwerker is gebonden), dient de verantwoordelijke met de verwerker af te spreken en vast te leggen in een verwerkersovereenkomst.

Dit kan nog wel eens problemen opleveren als de verwerker een grote organisatie is, meerdere opdrachten ontvangt van verantwoordelijken en/of internationaal georiënteerd is. Het is dan misschien niet mogelijk om een verwerkersovereenkomst op te stellen. Doet een dergelijk geval zich voor, dan dient een verantwoordelijke zich goed te laten informeren over de consequenties.

4.0 De betrokkene

De verwerkte persoonsgegevens behoren aan iemand toe: de betrokkene. De betrokkene krijgt door de AVG een uitbreiding van bestaande rechten en krijgt ook enkele nieuwe rechten (zie ook het artikel “Belangrijke veranderingen”).

5.0 De privacyfunctionaris

Een privacyfunctionaris (ook wel: functionaris gegevensbescherming) heeft een controle- en adviestaak. Deze persoon kan een ‘eigen’ medewerker van de organisatie zijn of een extern ingeschakelde kracht. Het is in ieder geval van belang dat de positie van privacyfunctionaris alleen door natuurlijke personen wordt vervuld. In tegenstelling tot een verantwoordelijke en verwerker, kan een privacyfunctionaris geen rechtspersoon zijn. Het is wel mogelijk om een medewerker van een gespecialiseerd bedrijf als functionaris aan te stellen.

In sommige gevallen is een privacyfunctionaris verplicht, maar veelal is het een vrijwillige keuze. Of het vrijwillig aanstellen van een privacyfunctionaris aan te raden is, hangt heel erg van de organisatie, de verwerkte gegevens en de risico’s  af.

Gezien de controle- en adviestaken, is het in ieder geval van belang dat de functionaris over de juiste kennis en kundige beschikt. Een middagcursusje IT-recht is veelal ontoereikend, iets waar nu (noodgedwongen) veelal wel voor wordt gekozen. De universiteiten en opleiders hebben echter de afgelopen jaren gespecialiseerde studierichtingen voor IT-recht opgezet. Deze specialisten zijn dan minstens 3/4 jaren verdiept in de materie en zien de privacywetgeving in het (vereiste!) grotere verband.

6.0 De Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens is een bij wet ingesteld advies- en controleorgaan. Op de website www.autoriteitpersoonsgegevens.nl staat een overzicht van de activiteiten en worden contactgegevens getoond voor advies.

De AP is bevoegd om o.a. een formele waarschuwing te geven, boetes op te leggen en adviezen te formuleren. Daarnaast wordt een datalek bij de AP gemeld en door de AP gepubliceerd.