Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

Versie 2.0

Vastgesteld op 7 juli 2021

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0	7 juli 2021	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	2 september 2020	Vaststelling van de richtsnoeren voor openbare raadpleging

SAMENVATTING

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de juiste uitlegging ervan moeten voldoende duidelijk en consistent zijn in de gehele Europese Economische Ruimte (EER).

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' zijn functionele begrippen in die zin dat zij bedoeld zijn om de verantwoordelijkheden toe te wijzen op basis van de daadwerkelijke rol van de partijen. Daarnaast zijn het autonome begrippen in die zin dat zij voornamelijk dienen te worden uitgelegd overeenkomstig de EU-wetgeving inzake gegevensbescherming.

Verwerkingsverantwoordelijke

In beginsel bestaat er geen beperking ten aanzien van het soort entiteit dat de rol van verwerkingsverantwoordelijke kan vervullen, maar in de praktijk is het doorgaans de organisatie als zodanig, en niet een persoon binnen de organisatie (zoals de CEO, een werknemer of een lid van de raad van bestuur), die als verwerkingsverantwoordelijke optreedt.

Een verwerkingsverantwoordelijke is een orgaan dat beslist over bepaalde wezenlijke aspecten van de verwerking. De verantwoordelijkheid voor de verwerking kan bij wet worden vastgesteld of kan voortvloeien uit een analyse van de feitelijke elementen of omstandigheden van het geval. Bepaalde verwerkingsactiviteiten zijn op natuurlijke wijze inherent aan de rol van een entiteit (een werkgever ten aanzien van werknemers, een uitgever ten aanzien van abonnees of een vereniging ten aanzien van haar leden). In veel gevallen kunnen de bepalingen van een overeenkomst helpen om de verwerkingsverantwoordelijke te identificeren, hoewel ze niet in alle omstandigheden doorslaggevend zijn.

Een verwerkingsverantwoordelijke stelt het doel van de verwerking vast en de middelen ervoor, d.w.z. het hoe en waarom van de verwerking. De verwerkingsverantwoordelijke moet beslissen over zowel het doel als de middelen. Sommige meer praktische aspecten van de uitvoering ('niet-wezenlijke middelen') kunnen echter aan de verwerker worden overgelaten. De verwerkingsverantwoordelijke hoeft niet daadwerkelijk toegang te hebben tot de gegevens die worden verwerkt om als verwerkingsverantwoordelijke te worden aangemerkt.

Gezamenlijke verwerkingsverantwoordelijken

De kwalificatie als 'gezamenlijke verwerkingsverantwoordelijken' kan zich voordoen wanneer meer dan één partij bij de verwerking betrokken is. In de AVG zijn specifieke regels ingevoerd voor gezamenlijke verwerkingsverantwoordelijken en is een kader vastgesteld om hun betrekkingen te regelen. Het overkoepelende criterium voor het bestaan van de gezamenlijke verantwoordelijkheid voor de verwerking is de gezamenlijke deelname van twee of meer entiteiten aan de vaststelling van het doel en de middelen van een verwerkingsactiviteit. Gezamenlijke deelname kan de vorm aannemen van een gezamenlijk besluit van twee of meer entiteiten of het resultaat zijn van convergerende besluiten van twee of meer entiteiten, wanneer de besluiten elkaar aanvullen en noodzakelijk zijn om de verwerking op zodanige wijze te laten plaatsvinden dat zij een tastbaar effect hebben op de vaststelling van het doel en de middelen van de verwerking. Een belangrijk criterium is

dat de verwerking niet mogelijk zou zijn zonder de deelname van beide partijen, in die zin dat de verwerking door elke partij onscheidbaar, d.w.z. onlosmakelijk met die van de andere verbonden is. De gezamenlijke deelname moet de vaststelling van het doel enerzijds en de vaststelling van de middelen anderzijds omvatten.

Verwerker

Een 'verwerker' is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Er zijn twee basisvoorwaarden om als verwerker te worden aangemerkt: deze moet een afzonderlijke entiteit zijn ten opzichte van de verwerkingsverantwoordelijke en persoonsgegevens verwerken ten behoeve van de verwerkingsverantwoordelijke. De verwerker mag de gegevens niet anderszins verwerken dan volgens de instructies van de verwerkingsverantwoordelijke. De instructies van de verwerkingsverantwoordelijke kunnen nog steeds een zekere mate van vrijheid laten over hoe de belangen van de verwerkingsverantwoordelijke het best kunnen worden behartigd, zodat de verwerker de meest geschikte technische en organisatorische middelen kan kiezen. Een verwerker schendt de AVG echter als deze verder gaat dan de instructies van de verwerkingsverantwoordelijke en zijn eigen doel en middelen voor de verwerking begint te bepalen. De verwerker wordt dan met betrekking tot die verwerking als een verwerkingsverantwoordelijke beschouwd en kan aan sancties onderworpen zijn omdat hij verder is gegaan dan de instructies van de verwerkingsverantwoordelijke. De relatie tussen de verwerkingsverantwoordelijke en de verwerker Een verwerkingsverantwoordelijke mag alleen een beroep doen op verwerkers die voldoende garanties bieden om passende technische en organisatorische maatregelen te nemen zodat de verwerking voldoet aan de vereisten op grond van de AVG. Elementen waarmee rekening kan worden gehouden, zijn de deskundigheid van de verwerker (bv. technische deskundigheid op het gebied van beveiligingsmaatregelen en inbreuken in verband met gegevens); de betrouwbaarheid van de verwerker; de middelen van de verwerker en het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling. Elke verwerking van persoonsgegevens door een verwerker moet worden geregeld in een overeenkomst of andere rechtshandeling in schriftelijke vorm, waaronder, elektronische vorm, die bindend is. De verwerkingsverantwoordelijke en de verwerker kunnen ervoor kiezen hun eigen overeenkomst met alle verplichte elementen te sluiten of zich geheel of ten dele te baseren op standaardcontractbepalingen. In de AVG worden de elementen opgesomd die in de verwerkingsovereenkomst moeten worden opgenomen. In de verwerkingsovereenkomst dienen echter niet gewoon de bepalingen van de AVG te worden herhaald; ze behoort veeleer specifiekere en concretere informatie te bevatten over de wijze waarop aan de vereisten zal worden voldaan en welk beveiligingsniveau vereist is voor de verwerking van persoonsgegevens waarop de verwerkingsovereenkomst betrekking heeft.

De relatie tussen gezamenlijke verwerkingsverantwoordelijken Gezamenlijke verwerkingsverantwoordelijken moeten op transparante wijze overeenstemming bereiken over hun respectieve verantwoordelijkheden voor de naleving van verplichtingen uit hoofde van de AVG en deze vaststellen. Bij de vaststelling van hun respectieve verantwoordelijkheden moet met name rekening worden gehouden met de uitoefening van de rechten van de betrokkenen en de

verplichtingen om informatie te verstrekken. Daarnaast dient de verdeling van de verantwoordelijkheden betrekking te hebben op andere verplichtingen voor de verwerkingsverantwoordelijke, zoals die met betrekking tot de algemene beginselen inzake gegevensbescherming, de rechtsgrondslag, de beveiligingsmaatregelen, de verplichting tot melding van inbreuken in verband met persoonsgegevens, de gegevensbeschermingseffectbeoordelingen, het doen van een beroep op verwerkers, de doorgiften aan derde landen en de contacten met betrokkenen en toezichthoudende autoriteiten. Elke gezamenlijke verwerkingsverantwoordelijke heeft de plicht ervoor te zorgen dat hij over een rechtsgrondslag voor de verwerking beschikt en dat de gegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij oorspronkelijk zijn verzameld door de verwerkingsverantwoordelijke die de gegevens deelt. De juridische vorm van de regeling tussen gezamenlijke verwerkingsverantwoordelijken wordt in de AVG niet gespecificeerd. Voor de rechtszekerheid en om te voorzien in transparantie en verantwoordingsplicht, beveelt het EDPB aan dat een dergelijke regeling wordt getroffen in de vorm van een bindend document, zoals een overeenkomst of een andere bindende rechtshandeling uit hoofde van een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. Uit de regeling blijkt duidelijk welke rollen de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld. Ongeacht de voorwaarden van de regeling kunnen betrokkenen hun rechten met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen. Toezichthoudende autoriteiten zijn niet gebonden door de voorwaarden van de regeling wat betreft de kwestie van de kwalificatie van de partijen als gezamenlijke verwerkingsverantwoordelijken of het aangewezen contactpunt.

INHOUDSOPGAVE

SAMENVATTING...................................................................................................................................... 3

INLEIDING................................................................................................................................................ 8	INLEIDING................................................................................................................................................ 8	INLEIDING................................................................................................................................................ 8	INLEIDING................................................................................................................................................ 8
DEEL I -BEGRIPPEN ............................................................................................................................... 9	DEEL I -BEGRIPPEN ............................................................................................................................... 9	DEEL I -BEGRIPPEN ............................................................................................................................... 9	DEEL I -BEGRIPPEN ............................................................................................................................... 9
1 ALGEMENE OPMERKINGEN............................................................................................................. 9	1 ALGEMENE OPMERKINGEN............................................................................................................. 9	1 ALGEMENE OPMERKINGEN............................................................................................................. 9	1 ALGEMENE OPMERKINGEN............................................................................................................. 9
2 DEFINITIE VAN VERWERKINGSVERANTWOORDELIJKE.................................................................. 11	2 DEFINITIE VAN VERWERKINGSVERANTWOORDELIJKE.................................................................. 11	2 DEFINITIE VAN VERWERKINGSVERANTWOORDELIJKE.................................................................. 11	2 DEFINITIE VAN VERWERKINGSVERANTWOORDELIJKE.................................................................. 11
2.1 Definitie van verwerkingsverantwoordelijke ........................................................................ 11	2.1 Definitie van verwerkingsverantwoordelijke ........................................................................ 11	2.1 Definitie van verwerkingsverantwoordelijke ........................................................................ 11	2.1 Definitie van verwerkingsverantwoordelijke ........................................................................ 11
2.1.1 ander	'Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een orgaan'................................................................................................................................	11
2.1.2	'Vaststelt' .....................................................................................................................	12
2.1.3	'Alleen of samen met anderen'....................................................................................	16
2.1.4	'Het doel en de middelen'............................................................................................	16
2.1.5	'Voor de verwerking van persoonsgegevens' ..............................................................	19
3 DEFINITIE VAN GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN...................................... 21	3 DEFINITIE VAN GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN...................................... 21	3 DEFINITIE VAN GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN...................................... 21	3 DEFINITIE VAN GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN...................................... 21
3.1 Definitie van gezamenlijke verwerkingsverantwoordelijken................................................ 21	3.1 Definitie van gezamenlijke verwerkingsverantwoordelijken................................................ 21	3.1 Definitie van gezamenlijke verwerkingsverantwoordelijken................................................ 21	3.1 Definitie van gezamenlijke verwerkingsverantwoordelijken................................................ 21
3.2.1 Algemene overwegingen............................................................................................... 22	3.2.1 Algemene overwegingen............................................................................................... 22	3.2.1 Algemene overwegingen............................................................................................... 22	3.2.1 Algemene overwegingen............................................................................................... 22
3.2.2 Beoordeling van de gezamenlijke deelname ................................................................ 22 3.2.3 Situaties waarin er geen gezamenlijke verantwoordelijkheid voor de verwerking is... 28 DEFINITIE VAN VERWERKER.......................................................................................................... 30 DEFINITIE VAN DERDE/ONTVANGER............................................................................................. 33 DEEL II -GEVOLGEN VAN DE TOEWIJZING VAN VERSCHILLENDE ROLLEN ....................................... 36	3.2.2 Beoordeling van de gezamenlijke deelname ................................................................ 22 3.2.3 Situaties waarin er geen gezamenlijke verantwoordelijkheid voor de verwerking is... 28 DEFINITIE VAN VERWERKER.......................................................................................................... 30 DEFINITIE VAN DERDE/ONTVANGER............................................................................................. 33 DEEL II -GEVOLGEN VAN DE TOEWIJZING VAN VERSCHILLENDE ROLLEN ....................................... 36	3.2.2 Beoordeling van de gezamenlijke deelname ................................................................ 22 3.2.3 Situaties waarin er geen gezamenlijke verantwoordelijkheid voor de verwerking is... 28 DEFINITIE VAN VERWERKER.......................................................................................................... 30 DEFINITIE VAN DERDE/ONTVANGER............................................................................................. 33 DEEL II -GEVOLGEN VAN DE TOEWIJZING VAN VERSCHILLENDE ROLLEN ....................................... 36	3.2.2 Beoordeling van de gezamenlijke deelname ................................................................ 22 3.2.3 Situaties waarin er geen gezamenlijke verantwoordelijkheid voor de verwerking is... 28 DEFINITIE VAN VERWERKER.......................................................................................................... 30 DEFINITIE VAN DERDE/ONTVANGER............................................................................................. 33 DEEL II -GEVOLGEN VAN DE TOEWIJZING VAN VERSCHILLENDE ROLLEN ....................................... 36
1 RELATIE TUSSEN VERWERKINGSVERANTWOORDELIJKE EN VERWERKER .................................... 1.1 Keuze van de verwerker........................................................................................................ 36		36
1.2	Vorm van de overeenkomst of andere rechtshandeling.......................................................	37
	Inhoud van de overeenkomst of andere rechtshandeling....................................................	40
1.3 1.3.1 van	De verwerker verwerkt de gegevens uitsluitend op basis van de schriftelijke instructies de verwerkingsverantwoordelijke (artikel 28, lid 3, onder a), van de AVG) ...........................	42
een	1.3.2 De verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door passende wettelijke verplichting van vertrouwelijkheid zijn gebonden (art. 28, lid 3, onder de AVG) ...................................................................................................................................	43
b) van 1.3.3 De verwerker neemt alle overeenkomstig artikel 32 vereiste maatregelen (art. 28, lid 3, onder c) van de AVG) ..................................................................................................................... 43	b) van 1.3.3 De verwerker neemt alle overeenkomstig artikel 32 vereiste maatregelen (art. 28, lid 3, onder c) van de AVG) ..................................................................................................................... 43	b) van 1.3.3 De verwerker neemt alle overeenkomstig artikel 32 vereiste maatregelen (art. 28, lid 3, onder c) van de AVG) ..................................................................................................................... 43	b) van 1.3.3 De verwerker neemt alle overeenkomstig artikel 32 vereiste maatregelen (art. 28, lid 3, onder c) van de AVG) ..................................................................................................................... 43

1.3.4 een	De verwerker voldoet aan de voorwaarden van artikel 28, lid 2, en artikel 28, lid 4om andere verwerker in dienst te nemen (artikel 28, lid 3, onder d) van de AVG). ...................... 44
1.3.5 zijn diens	De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het vervullen van plicht om verzoeken om uitoefening van de rechten van de betrokkene te
beantwoorden (artikel 28, lid 3, onder e), van de AVG). ............................................................... 45	beantwoorden (artikel 28, lid 3, onder e), van de AVG). ............................................................... 45
1.3.6 van de	De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het waarborgen naleving van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 (artikel 28,
1.3.7 Bij beëindiging van de verwerkingsactiviteiten wist de verwerker, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens of bezorgt deze aan hem terug, en verwijdert hij bestaande kopieën (art. 28, lid 3, onder g) van de AVG). ....................................... 47	1.3.7 Bij beëindiging van de verwerkingsactiviteiten wist de verwerker, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens of bezorgt deze aan hem terug, en verwijdert hij bestaande kopieën (art. 28, lid 3, onder g) van de AVG). ....................................... 47
1.3.8 De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in artikel 28 neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen	1.3.8 De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in artikel 28 neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen
(artikel 28, lid 3, onder h), van de AVG). .......................................................................................	(artikel 28, lid 3, onder h), van de AVG). .......................................................................................
48	48
1.4	Instructies die in strijd zijn met de gegevensbeschermingswetgeving................................. 49
1.5	Verwerker die het doel en de middelen van de verwerking vaststelt .................................. 50
1.6	Subverwerkers.......................................................................................................................
2	50
GEVOLGEN VAN DE GEZAMENLIJKE VERANTWOORDELIJKHEID VOOR DE VERWERKING............ 52	GEVOLGEN VAN DE GEZAMENLIJKE VERANTWOORDELIJKHEID VOOR DE VERWERKING............ 52
2.1 De respectieve voor	verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken de naleving van de verplichtingen uit hoofde van de AVG op transparante wijze vaststellen 52 De verantwoordelijkheden moeten worden toegewezen door middel van een regeling.... 55
2.2 2.2.1	Vorm van de regeling .................................................................................................... 55
2.2.2	Verplichtingen jegens betrokkenen .............................................................................. 56
2.3	Verplichtingen jegens gegevensbeschermingsautoriteiten.................................................. 58

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, onder e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'de AVG' of 'de verordening'),

Gezien de EER-overeenkomst en met name bijlage XI en Protocol 37 daarvan, zoals gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien artikel 12 en artikel 22 van zijn reglement van orde,

Overwegende dat de voorbereidende werkzaamheden van deze richtsnoeren betrekking hadden op het verzamelen van bijdragen van belanghebbenden, zowel schriftelijk als tijdens een evenement met belanghebbenden, om de meest dringende uitdagingen in kaart te brengen;

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

INLEIDING

1. Dit document is bedoeld als leidraad voor de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' op basis van de definities in artikel 4 van de AVG en de bepalingen over de verplichtingen van de verwerkingsverantwoordelijke en de verwerker in hoofdstuk IV van die verordening. Het voornaamste doel is de betekenis van de begrippen te verduidelijken en de verschillende rollen en de verdeling van de verantwoordelijkheden tussen deze partijen te verduidelijken.
2. Het begrip 'verwerkingsverantwoordelijke' en de wisselwerking ervan met het begrip 'verwerker' spelen een cruciale rol bij de toepassing van de AVG, aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van de verschillende gegevensbeschermingsregels en hoe betrokkenen hun rechten in de praktijk kunnen uitoefenen. In de AVG wordt expliciet het verantwoordingsbeginsel ingevoerd, dat wil zeggen dat de verwerkingsverantwoordelijke verantwoordelijk is voor de beginselen met betrekking tot de verwerking van persoonsgegevens in artikel 5 en kan aantonen dat ze worden nageleefd. Bovendien bevat de AVG ook specifiekere regels voor wanneer een beroep wordt gedaan op (een) verwerker(s) en zijn een aantal van de bepalingen inzake de verwerking van persoonsgegevens niet alleen gericht op verwerkingsverantwoordelijken, maar ook op verwerkers.
3. Het is daarom van het allergrootste belang dat de precieze betekenis van deze begrippen en de criteria voor het correcte gebruik ervan voldoende duidelijk zijn en in de hele Europese Unie en de EER worden gedeeld.
4. De Groep gegevensbescherming artikel 29 heeft in haar advies 1/2010 (WP169) 2 richtsnoeren uitgebracht over de begrippen 'verwerkingsverantwoordelijke/verwerker' om deze begrippen te

verduidelijken en er concrete voorbeelden van te geven. Sinds de inwerkingtreding van de AVG zijn veel vragen gerezen over de mate waarin de AVG de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' en de respectieve rollen van de verwerkingsverantwoordelijke en de verwerker heeft gewijzigd. Er zijn met name vragen gerezen over de inhoud en de implicaties van het begrip 'gezamenlijke verantwoordelijkheid voor de verwerking' (zoals vastgelegd in artikel 26 van de AVG) en over de specifieke verplichtingen voor verwerkers die zijn vastgelegd in hoofdstuk IV (bv. zoals vastgelegd in artikel 28 van de AVG). Daarom, en aangezien het EDPB erkent dat de concrete toepassing van de begrippen verder moet worden verduidelijkt, acht het EDPB het noodzakelijk om meer ontwikkelde en specifieke richtsnoeren te geven om te zorgen voor een consistente en geharmoniseerde aanpak in de hele EU en de EER. Deze richtsnoeren komen in de plaats van het vorige advies van werkgroep 29 over deze begrippen (WP169).

5. In deel I van deze richtsnoeren wordt ingegaan op de definities van de verschillende begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijken', 'verwerker' en 'derde partij/ontvanger'. In deel II worden verdere richtsnoeren gegeven over de gevolgen die verbonden zijn aan de verschillende rollen van de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerker.

DEEL I - BEGRIPPEN

1 ALGEMENE OPMERKINGEN

6. In artikel 5, lid 2, van de AVG wordt expliciet het verantwoordingsbeginsel ingevoerd, wat betekent dat:
7.  de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de in artikel 5, lid 1, van de AVG vastgestelde beginselen; en dat
8.  de verwerkingsverantwoordelijke kan aantonen dat hij voldoet aan de in artikel 5, lid 1, van de AVG vastgelegde beginselen.

Dit beginsel is beschreven in een advies van de Groep artikel 29 3 en zal hier niet in detail worden besproken.

7. Door het verantwoordingsbeginsel in de AVG op te nemen en centraal te stellen werd benadrukt dat de verwerkingsverantwoordelijken passende en doeltreffende maatregelen moeten nemen en de naleving ervan moeten kunnen aantonen. 4
8. Het verantwoordingsbeginsel is verder uitgewerkt in artikel 24, waarin is bepaald dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Dergelijke maatregelen worden geëvalueerd en indien nodig geactualiseerd. Het verantwoordingsbeginsel komt ook tot uiting in artikel 28, waarin de verplichtingen van de verwerkingsverantwoordelijke zijn vastgelegd wanneer een verwerker in dienst wordt genomen.
9. Het verantwoordingsbeginsel is rechtstreeks gericht tot de verwerkingsverantwoordelijke. Sommige van de specifiekere regels zijn echter gericht tot zowel de verwerkingsverantwoordelijke als de

4 Overweging 74 van de AVG.

• verwerker, zoals de regels inzake de bevoegdheden van de toezichthoudende autoriteiten in artikel 58. Aan zowel verwerkingsverantwoordelijken als verwerkers kunnen boetes worden opgelegd in geval van niet-naleving van de voor hen ter zake dienende verplichtingen uit hoofde van de AVG. Beiden zijn rechtstreeks verantwoording verschuldigd aan de toezichthoudende autoriteiten op grond van de verplichting om passende documentatie te bewaren en deze op verzoek te verstrekken, samen te werken in het geval van een onderzoek en administratieve bevelen na te leven. Tegelijkertijd wordt eraan herinnerd dat verwerkers altijd de instructies van de verwerkingsverantwoordelijke in acht moeten nemen en alleen mogen handelen op diens instructie.

10. Opgrondvanhetverantwoordingsbeginsel, samen met de andere, specifiekere regels voor de naleving van de AVG en de verdeling van de verantwoordelijkheid, is het daarom noodzakelijk de verschillende rollen te definiëren van verscheidene partijen die betrokken zijn bij een persoonsgegevensverwerkingsactiviteit.
11. Een algemene opmerking met betrekking tot de begrippen 'verwerkingsverantwoordelijke' (voorheen 'voor de verwerking verantwoordelijke' genoemd) en 'verwerker' in de AVG is dat deze niet zijn gewijzigd ten opzichte van Richtlijn 95/46/EG en dat de criteria voor het toekennen van de verschillende rollen in het algemeen dezelfde blijven.
12. De begrippen 'verwerkingsverantwoordelijke' en 'verwerker' zijn functionele begrippen: zij zijn bedoeld om de verantwoordelijkheden toe te wijzen volgens de daadwerkelijke rol van de partijen, 5 wat betekent dat de juridische status van een partij als 'verwerkingsverantwoordelijke' of als 'verwerker' in beginsel moet worden bepaald door zijn feitelijke activiteiten in een specifieke situatie, en niet door de formele aanwijzing van een partij als 'verwerkingsverantwoordelijke' of 'verwerker' (bv. in een overeenkomst). 6 Dit betekent dat de toewijzing van de rollen gewoonlijk gebaseerd dient te zijn op een analyse van de feitelijke elementen of omstandigheden van het geval en dat daarover niet kan worden onderhandeld.
13. De begrippen 'verwerkingsverantwoordelijke' en 'verwerker' zijn ook autonome begrippen in die zin dat, hoewel externe juridische bronnen kunnen helpen om te bepalen wie de verwerkingsverantwoordelijke is, deze begrippen voornamelijk dienen te worden uitgelegd overeenkomstig de EU-wetgeving inzake gegevensbescherming. Het begrip 'verwerkingsverantwoordelijke' dient niet te worden aangetast door andere - soms tegengestelde of overlappende - begrippen in andere rechtsgebieden, zoals de maker of de houder van het recht op het gebied van intellectuele-eigendomsrechten of mededingingsrecht.
14. Aangezien het onderliggende doel van het toekennen van de rol van verwerkingsverantwoordelijke erin bestaat de verantwoordingsplicht en de doeltreffende en volledige bescherming van de persoonsgegevens te verzekeren, dient het begrip 'verwerkingsverantwoordelijke' ruim genoeg te worden uitgelegd, waarbij zoveel mogelijk een doeltreffende en volledige bescherming van de betrokkenen wordt bevorderd 7 , teneinde de volle werking van de EU-wetgeving inzake

5 Advies 1/2010 van de Groep artikel 29, WP 169, blz. 9.

gegevensbescherming te waarborgen, lacunes te vermijden en mogelijke omzeiling van de regels te voorkomen, terwijl tegelijkertijd de rol van de verwerker niet wordt aangetast.

2 DEFINITIE VAN VERWERKINGSVERANTWOORDELIJKE

2.1 Definitie van verwerkingsverantwoordelijke

15. Een verwerkingsverantwoordelijke wordt in artikel 4, lid 7, van de AVG gedefinieerd als:

' een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt ; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen'.

16. De definitie van 'verwerkingsverantwoordelijke' omvat vijf hoofdonderdelen, die voor de toepassing van deze richtsnoeren afzonderlijk zullen worden geanalyseerd. Het gaat om de volgende onderdelen:
17.  'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan'
18.  'vaststelt'
19.  'alleen of samen met anderen'
20.  'het doel en de middelen'
21.  'voor de verwerking van persoonsgegevens'.

2.1.1 'Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan'

17. Het eerste onderdeel heeft betrekking op het soort entiteit dat een verwerkingsverantwoordelijke kan zijn. Volgens de AVG kan een verwerkingsverantwoordelijke ' een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan ' zijn. Dit betekent dat er in beginsel geen beperking is ten aanzien van het soort entiteit dat de rol van verwerkingsverantwoordelijke kan vervullen. Het kan een organisatie zijn, maar het kan ook een persoon of een groep personen zijn. 8 In de praktijk is het echter meestal de organisatie als zodanig en niet een persoon binnen de organisatie (zoals de CEO, een werknemer of een lid van de raad van bestuur) die optreedt als verwerkingsverantwoordelijke in de zin van de AVG. Wat de gegevensverwerking binnen een concern betreft, moet bijzondere aandacht worden besteed aan de vraag of een vestiging als verwerkingsverantwoordelijke of verwerker kan handelen, bijvoorbeeld bij de verwerking van gegevens namens van het moederbedrijf.
18. Soms wijzen bedrijven en overheidsinstanties een specifieke persoon aan die verantwoordelijk is voor de uitvoering van de verwerkingsactiviteit. Zelfs indien een specifieke natuurlijke persoon wordt aangewezen om ervoor te zorgen dat de regels inzake gegevensbescherming worden nageleefd, is

deze persoon niet de verwerkingsverantwoordelijke, maar treedt hij op namens de rechtspersoon (onderneming of overheidsinstantie) die uiteindelijk verantwoordelijk is in geval van inbreuk op de regels in zijn hoedanigheid van verwerkingsverantwoordelijke. In dezelfde geest betekent de toewijzing van de operationele verantwoordelijkheid voor het waarborgen van de naleving van bepaalde verwerkingsactiviteiten aan een bepaalde afdeling of eenheid van een organisatie, niet dat deze afdeling of eenheid (in plaats van de organisatie als geheel) de verwerkingsverantwoordelijke wordt.

Voorbeeld:

De marketingafdeling van onderneming ABC zet een reclamecampagne op touw om de producten van ABC te promoten. De marketingafdeling bepaalt de aard van de campagne, de te gebruiken middelen (e-mail, sociale media enz.), de consumentendoelgroep en de gegevens die moeten worden gebruikt om de campagne zo succesvol mogelijk te maken. Ook al handelt de marketingafdeling in aanzienlijke mate onafhankelijk, onderneming ABC zal in beginsel worden beschouwd als de verwerkingsverantwoordelijke, aangezien de reclamecampagne door de onderneming op touw wordt gezet en plaatsvindt binnen het kader van haar bedrijfsactiviteiten en voor haar doeleinden.

19. In beginsel kan elke verwerking van persoonsgegevens door werknemers die in het kader van de activiteiten van een organisatie plaatsvindt, worden vermoed op grond van de zeggenschap van die organisatie te hebben plaatsgevonden. 9 In uitzonderlijke omstandigheden kan het echter voorkomen dat een werknemer besluit persoonsgegevens te gebruiken voor zijn eigen doeleinden, waardoor het recht dat hem of haar is verleend, onrechtmatig wordt overschreden (bv. om een eigen onderneming of een soortgelijke onderneming op te richten). Het is daarom de plicht van de organisatie als verwerkingsverantwoordelijke ervoor te zorgen dat er passende technische en organisatorische maatregelen voorhanden zijn, zoals opleiding en informatie voor werknemers, om ervoor te zorgen dat de AVG wordt nageleefd. 10

2.1.2 'Vaststelt'

20. Het tweede onderdeel van het begrip 'verwerkingsverantwoordelijke' verwijst naar de invloed van de verwerkingsverantwoordelijke op de verwerking door uitoefening van beslissingsbevoegdheid . Een verwerkingsverantwoordelijke is een orgaan dat beslist over bepaalde belangrijke elementen van de verwerking. Deze verantwoordelijkheid voor de verwerking kan bij wet worden vastgesteld of kan voortvloeien uit een analyse van de feitelijke elementen of omstandigheden van het geval. Er dient te worden gekeken naar de specifieke verwerkingsactiviteiten in kwestie en er dient te worden begrepen wie ze vaststelt, door eerst de volgende vragen in overweging te nemen: ' waarom vindt deze verwerking plaats?' en 'wie heeft besloten dat de verwerking voor een bepaald doel moet plaatsvinden?' .

Omstandigheden die aanleiding geven tot zeggenschap

21. Dit gezegd zijnde, is het begrip 'verwerkingsverantwoordelijke' een functioneel begrip en is het derhalve op een feitelijke en niet op een formele analyse gebaseerd. Om de analyse te vergemakkelijken, kunnen bepaalde vuistregels en praktische vermoedens worden gebruikt om het proces te sturen en te vereenvoudigen. In de meeste gevallen kan de 'vaststellende instantie'

9 Werknemers die binnen een organisatie toegang hebben tot persoonsgegevens worden doorgaans niet beschouwd als ' verwerkingsverantwoordelijken' of 'verwerkers', maar wel als 'personen die handelen onder het gezag van de verwerkingsverantwoordelijke of van de verwerker' in de zin van artikel 29 van de AVG.

10 Artikel 24, lid 1, van de AVG.

gemakkelijk en duidelijk worden geïdentificeerd aan de hand van bepaalde juridische en/of feitelijke omstandigheden waaruit gewoonlijk 'invloed' kan worden afgeleid, tenzij andere elementen het tegendeel aantonen. Er kunnen twee categorieën situaties worden onderscheiden: (1) zeggenschap die voortvloeit uit wettelijke bepalingen ; en (2) zeggenschap die voortvloeit uit feitelijke invloed.

1) Zeggenschap die voortvloeit uit wettelijke bepalingen

22. Er zijn gevallen waarin zeggenschap kan worden afgeleid uit een expliciete wettelijke bevoegdheid, bv. wanneer de verwerkingsverantwoordelijke of de specifieke criteria volgens welke deze wordt aangewezen, in het nationale recht of het Unierecht worden bepaald. In artikel 4, lid 7 wordt inderdaad bepaald dat ' wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen .' Hoewel in artikel 4, lid 7 alleen wordt verwezen naar 'verwerkingsverantwoordelijke' in het enkelvoud, is het EDPB van oordeel dat het ook mogelijk kan zijn dat in het Unierecht of het lidstatelijke recht meer dan één verwerkingsverantwoordelijke, eventueel zelfs als gezamenlijke verwerkingsverantwoordelijken, wordt (worden) aangewezen.
23. Wanneer de verwerkingsverantwoordelijke specifiek bij wet is aangewezen, zal dit bepalend zijn voor de vaststelling wie als verwerkingsverantwoordelijke optreedt. Dit veronderstelt dat de wetgever de entiteit als verwerkingsverantwoordelijke heeft aangewezen die daadwerkelijk in staat is zeggenschap uit te oefenen. In sommige landen bepaalt de nationale wetgeving dat overheidsinstanties verantwoordelijk zijn voor de verwerking van persoonsgegevens in het kader van hun taken.
24. Het is echter gebruikelijker dat in de wet een taak of een verplichting wordt opgelegd aan iemand om bepaalde gegevens te verzamelen en te verwerken dan dat daarin de verwerkingsverantwoordelijke rechtstreeks wordt aangewezen of de criteria voor diens aanwijzing daarin worden vastgesteld. In die gevallen is het doel van de verwerking bij wet vastgelegd. Normaal gesproken is de verwerkingsverantwoordelijke de persoon die bij wet is aangewezen voor de verwezenlijking van dit doel, deze publieke taak. Dit zou bijvoorbeeld het geval zijn wanneer een entiteit die belast is met bepaalde overheidstaken (zoals sociale zekerheid) die niet kunnen worden uitgevoerd zonder ten minste bepaalde persoonsgegevens te verzamelen, een database of register aanlegt om die overheidstaken te vervullen. In dat geval wordt in de wet bepaald, zij het indirect, wie de verwerkingsverantwoordelijke is. Meer in het algemeen kan in de wet ook een verplichting voor openbare of particuliere entiteiten worden opgenomen om bepaalde gegevens te bewaren of te verstrekken. Deze entiteiten worden dan normaliter beschouwd als verwerkingsverantwoordelijken met betrekking tot de verwerking die nodig is om deze verplichting na te komen.

Voorbeeld: Wettelijke bepalingen

In de nationale wetgeving van land A is een verplichting voor gemeentelijke autoriteiten opgenomen om sociale uitkeringen te verstrekken, zoals maandelijkse betalingen aan burgers, afhankelijk van hun financiële situatie. Voor de uitvoering van deze betalingen moet het gemeentebestuur gegevens over de financiële situatie van de aanvragers verzamelen en verwerken. Hoewel in de wet niet uitdrukkelijk is bepaald dat de gemeentelijke autoriteiten voor deze verwerking verantwoordelijk zijn, volgt dit impliciet uit de wettelijke bepalingen.

2) Zeggenschap die voortvloeit uit feitelijke invloed

25. Bij gebrek aan controle op grond van wettelijke bepalingen moet de kwalificatie van een partij als verwerkingsverantwoordelijke worden vastgesteld op basis van een beoordeling van de feitelijke omstandigheden waarin de verwerking plaatsvindt. Alle relevante feitelijke omstandigheden moeten in aanmerking worden genomen om te kunnen concluderen of een bepaalde entiteit een beslissende invloed uitoefent op de verwerking van de persoonsgegevens in kwestie.
26. De noodzaak van een feitelijke beoordeling betekent ook dat de rol van een verwerkingsverantwoordelijke niet voortvloeit uit de aard van een entiteit die gegevens verwerkt, maar uit haar concrete activiteiten in een specifieke context. Met andere woorden, dezelfde entiteit kan tegelijkertijd optreden als verwerkingsverantwoordelijke voor bepaalde verwerkingen en als verwerker voor andere, en de kwalificatie als verwerkingsverantwoordelijke of verwerker moet worden beoordeeld met betrekking tot elke specifieke gegevensverwerkingsactiviteit.
27. In de praktijk kunnen bepaalde verwerkingsactiviteiten op natuurlijke wijze inherent zijn aan de rol of de activiteiten van een entiteit die uiteindelijk uit het oogpunt van gegevensbescherming verantwoordelijkheden met zich meebrengen. Dit kan het gevolg zijn van algemenere wettelijke bepalingen of van een vaste rechtspraktijk op verschillende gebieden (burgerlijk recht, handelsrecht, arbeidsrecht, enz.). In dit geval zullen bestaande traditionele rollen en professionele deskundigheid die normaliter een bepaalde verantwoordelijkheid inhouden, helpen bij het identificeren van de verwerkingsverantwoordelijke, bijvoorbeeld: een werkgever met betrekking tot de verwerking van persoonsgegevens over zijn werknemers, een uitgever die persoonsgegevens over zijn abonnees verwerkt, of een vereniging die persoonsgegevens over haar leden of contribuanten verwerkt. Wanneer een entiteit zich bezighoudt met de verwerking van persoonsgegevens in het kader van haar contacten met haar eigen werknemers, klanten of leden, is het doorgaans zij die het doel en de middelen rond de verwerking bepaalt en derhalve als verwerkingsverantwoordelijke in de zin van de AVG handelt.

Voorbeeld: Advocatenkantoren

Vennootschap ABC huurt een advocatenkantoor in om haar in een geschil te vertegenwoordigen. Om deze taak te kunnen uitvoeren, moet het advocatenkantoor persoonsgegevens verwerken die verband houden met de zaak. De reden voor de verwerking van de persoonsgegevens is het mandaat van het advocatenkantoor om de cliënt in rechte te vertegenwoordigen. Dit mandaat is echter niet specifiek gericht op de verwerking van persoonsgegevens. Het advocatenkantoor handelt met een aanzienlijke mate van onafhankelijkheid, bijvoorbeeld bij het bepalen van de te gebruiken informatie en het gebruik ervan, en er zijn geen instructies van het klantenbedrijf met betrekking tot de verwerking van de persoonsgegevens. De verwerking die het advocatenkantoor verricht om de taak van wettelijke vertegenwoordiger van de vennootschap te vervullen, houdt derhalve verband met de functionele rol van het advocatenkantoor, zodat het als verwerkingsverantwoordelijke voor deze verwerking moet worden beschouwd.

Voorbeeld: Telecomoperatoren 11 :

Het aanbieden van een elektronische-communicatiedienst zoals een elektronische postdienst houdt de verwerking van persoonsgegevens in. De aanbieder van dergelijke diensten wordt normaliter

beschouwd als een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk is voor de werking van de dienst als zodanig (bijvoorbeeld communicatieverkeer- en factureringsgegevens). Indien het enige doel en de rol van de aanbieder erin bestaat de verzending van e-mailberichten mogelijk te maken, wordt de aanbieder niet beschouwd als de verwerkingsverantwoordelijke voor de persoonsgegevens in het bericht zelf. De verwerkingsverantwoordelijke voor in de het bericht vervatte persoonsgegevens wordt normaliter geacht de persoon te zijn van wie het bericht afkomstig is, en niet de dienstverlener die de verzenddienst aanbiedt.

28. In veel gevallen kan een beoordeling van de contractuele voorwaarden tussen de verschillende betrokken partijen het gemakkelijker maken vast te stellen welke partij (of partijen) als verwerkingsverantwoordelijke optreedt (optreden). Zelfs indien in een overeenkomst niet wordt vermeld wie de verwerkingsverantwoordelijke is, kan deze voldoende elementen bevatten om uit te maken wie een besluitvormende rol vervult met betrekking tot het doel en de middelen van de verwerking. Het kan ook zijn dat de overeenkomst een expliciete verklaring bevat over de identiteit van de verwerkingsverantwoordelijke. Indien er geen reden is eraan te twijfelen dat dit een juiste weergave van de werkelijkheid is, staat niets eraan in de weg dat de bepalingen van de overeenkomst worden gevolgd. De voorwaarden van een overeenkomst zijn echter niet in alle omstandigheden doorslaggevend, aangezien dit de partijen eenvoudigweg in staat zou stellen de verantwoordelijkheid naar eigen goeddunken toe te wijzen. Het is niet mogelijk om verwerkingsverantwoordelijke te worden of om eenvoudigweg aan de verplichtingen van de verwerkingsverantwoordelijke te ontsnappen door de overeenkomst op een bepaalde manier vorm te geven wanneer de feitelijke omstandigheden iets anders zeggen.
29. Indien een partij feitelijk beslist waarom en hoe persoonsgegevens worden verwerkt, zal die partij een verwerkingsverantwoordelijke zijn, zelfs als in een overeenkomst is opgenomen dat zij een verwerker is. Evenmin moet een entiteit vanuit het oogpunt van het recht inzake gegevensbescherming als verwerker worden beschouwd omdat in een handelsovereenkomst de term 'subcontractant' wordt gebruikt. 12
30. In overeenstemming met de feitelijke benadering betekent het woord 'vaststelt' dat de entiteit die daadwerkelijk beslissende invloed uitoefent op het doel en de middelen van de verwerking, de verwerkingsverantwoordelijke is. Normaliter wordt in een verwerkingsovereenkomst bepaald wie de beslissende partij (verwerkingsverantwoordelijke) en de geïnstrueerde partij (verwerker) is. Zelfs als de verwerker een dienst aanbiedt die vooraf op een specifieke manier is gedefinieerd, moet de verwerkingsverantwoordelijke een gedetailleerde beschrijving van de dienst krijgen en moet hij het definitieve besluit nemen om de wijze van verwerking actief goed te keuren en indien nodig om wijzigingen verzoeken. Bovendien kan de verwerker in een later stadium de wezenlijke aspecten van de verwerking niet wijzigen zonder de toestemming van de verwerkingsverantwoordelijke.

Voorbeeld: gestandaardiseerde cloudopslagdienst

Een grote aanbieder van cloudopslag biedt zijn klanten de mogelijkheid grote hoeveelheden persoonsgegevens op te slaan. De dienst is volledig gestandaardiseerd en klanten hebben weinig of geen mogelijkheden om de dienst aan te passen. De voorwaarden van de overeenkomst worden eenzijdig door de aanbieder van clouddiensten vastgesteld en opgesteld en aan de klant verstrekt op

een basis van 'te nemen of te laten'. Onderneming X besluit een beroep te doen op de cloudprovider om persoonsgegevens over haar klanten op te slaan. Onderneming X zal nog steeds als een verwerkingsverantwoordelijke worden beschouwd, gezien haar beslissing om een beroep te doen op deze specifieke aanbieder van clouddiensten om persoonsgegevens voor haar doel te verwerken. Voor zover de aanbieder van clouddiensten de persoonsgegevens niet voor zijn eigen doel verwerkt en de gegevens uitsluitend namens zijn klanten en overeenkomstig instructies opslaat, wordt de dienstverlener als verwerker beschouwd.

2.1.3 'Alleen of samen met anderen'

31. In artikel 4, lid 7, wordt erkend dat 'het doel van en de middelen voor' de verwerking door meer dan één partij kunnen worden vastgesteld. Daarin staat dat de verwerkingsverantwoordelijke de partij is die 'alleen of samen met anderen' het doel van en de middelen voor de verwerking vaststelt. Dit betekent dat meerdere entiteiten voor dezelfde verwerking als verwerkingsverantwoordelijken kunnen optreden, waarbij de toepasselijke gegevensbeschermingsbepalingen op elk van hen van toepassing zijn. Dienovereenkomstig kan een organisatie nog steeds een verwerkingsverantwoordelijke zijn, ook al neemt zij niet alle beslissingen over het doel en de middelen. De criteria voor gezamenlijke verantwoordelijkheid voor de verwerking en de mate waarin twee of meer partijen gezamenlijk verantwoordelijkheid uitoefenen, kunnen verschillende vormen aannemen, zoals later wordt verduidelijkt. 13

2.1.4 'Het doel en de middelen'

32. Het vierde onderdeel van de definitie van de verwerkingsverantwoordelijke verwijst naar het voorwerp van de invloed van de verwerkingsverantwoordelijke, namelijk het 'doel en de middelen' van de verwerking. Het vertegenwoordigt het materiële deel van het begrip 'verwerkingsverantwoordelijke': wat een partij dient vast te stellen om als een verwerkingsverantwoordelijke te worden aangemerkt.

33. In woordenboeken wordt 'doel' omschreven als 'datgene waarnaar men streeft, dat men probeert te bereiken, te verwezenlijken' en 'middel' als 'datgene wat gebezigd wordt om een doel te bereiken, om ergens toe te komen'.

34. In de AVG is bepaald dat gegevens voor specifieke, expliciete en gerechtvaardigde doeleinden worden verzameld en vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. De vaststelling van het 'doel' van de verwerking en de 'middelen' om deze te bereiken is daarom bijzonder belangrijk.

35. Degene die het doel en de middelen vaststelt bepaalt ook respectievelijk het 'waarom' en het 'hoe' van de verwerking: 14 gezien een bepaalde verwerking, is de verwerkingsverantwoordelijke de partij die heeft bepaald waarom de verwerking plaatsvindt (d.w.z. 'met welk doel'; of 'waarvoor') en hoe deze doelstelling zal worden bereikt (d.w.z. welke middelen worden ingezet om het doel te bereiken). Een natuurlijke of rechtspersoon die een dergelijke invloed uitoefent op de verwerking van persoonsgegevens, neemt aldus deel aan de vaststelling van het doel van en de middelen voor die verwerking overeenkomstig de definitie in artikel 4, lid 7, van de AVG. 15

36. De verwerkingsverantwoordelijke moet beslissen over zowel het doel als de middelen van de verwerking, zoals hieronder beschreven. Bijgevolg kan de verwerkingsverantwoordelijke er zich niet toe beperken alleen het doel bepalen. Hij moet ook beslissingen nemen over de middelen van de verwerking. Omgekeerd kan de partij die optreedt als verwerker nooit het doel van de verwerking bepalen.

37. In de praktijk betekent dit dat wanneer een verwerkingsverantwoordelijke een verwerker aanstelt om de verwerking namens hem uit te voeren, de verwerker zelf vaak bepaalde beslissingen kan nemen over de wijze waarop de verwerking wordt uitgevoerd. Het EDPB erkent dat de verwerker over enige vrijheid van handelen beschikt om ook bepaalde beslissingen met betrekking tot de verwerking te kunnen nemen. Zo bezien bestaat er een behoefte aan richtsnoeren over de vraag hoeveel invloed een entiteit op het 'waarom' en het 'hoe' dient te hebben om als verwerkingsverantwoordelijk te worden beschouwd en in hoeverre een verwerker zelf beslissingen kan nemen.

38. Wanneer een entiteit duidelijk het doel en de middelen vaststelt en een andere entiteit verwerkingsactiviteiten toevertrouwt die neerkomen op de uitvoering van haar gedetailleerde instructies, is de situatie eenvoudig en lijdt het geen twijfel dat de tweede entiteit als verwerker dient te worden beschouwd, terwijl de eerste entiteit de verwerkingsverantwoordelijke is.

Wezenlijke versus niet-wezenlijke middelen

39. De vraag is waar de grens kan worden getrokken tussen beslissingen die aan de verwerkingsverantwoordelijke zijn voorbehouden en beslissingen die aan de verwerker kunnen worden overgelaten. Het is duidelijk dat beslissingen over het doel van de verwerking altijd door de verwerkingsverantwoordelijke moeten worden genomen.
40. Wat de vaststelling van de middelen betreft, kan een onderscheid worden gemaakt tussen wezenlijke en niet-wezenlijke middelen. 'Wezenlijke middelen' worden gewoonlijk voorbehouden aan de verwerkingsverantwoordelijke. Hoewel niet-wezenlijke middelen ook door de verwerker kunnen worden vastgesteld, moeten de wezenlijke middelen door de verwerkingsverantwoordelijke worden vastgesteld. 'Wezenlijke middelen' zijn middelen die nauw verband houden met het doel en de reikwijdte van de verwerking, zoals het soort persoonsgegevens dat wordt verwerkt ( 'welke gegevens worden verwerkt?'), de duur van de verwerking (' hoelang worden zij verwerkt?'), de categorieën ontvangers (' wie heeft daartoe toegang? ') en de categorieën betrokkenen (' van wie worden persoonsgegevens worden verwerkt? '). Samen met het doel van de verwerking houden de wezenlijke middelen ook nauw verband met de vraag of de verwerking rechtmatig, noodzakelijk en evenredig is. 'Niet-wezenlijke middelen' betreffen meer praktische aspecten van de uitvoering, zoals de keuze voor een bepaald type hardware of software of de gedetailleerde beveiligingsmaatregelen waarover de verwerker kan beslissen.

Voorbeeld: Loonadministratie

Werkgever A huurt een andere onderneming in om de betaling van salarissen aan zijn werknemers te beheren. Werkgever A geeft duidelijke instructies over wie betaald moet worden, welke bedragen, op welke datum, door welke bank, hoelang de gegevens moeten worden bewaard, welke gegevens aan de belastingdienst moeten worden verstrekt enz. In dat geval wordt de verwerking van gegevens uitgevoerd voor het doel van onderneming A om de salarissen aan haar werknemers te betalen en mag de loonbeheerder de gegevens niet voor zijn eigen doelen gebruiken. De wijze waarop de loonbeheerder de verwerking moet uitvoeren, is in wezen duidelijk en nauwkeurig omschreven. De loonbeheerder kan echter beslissen over bepaalde gedetailleerde aspecten van de verwerking, zoals welke software moet worden gebruikt, hoe de toegang binnen zijn eigen organisatie moet worden

verdeeld enz. Dit verandert niets aan zijn rol als verwerker zolang de beheerder niet ingaat tegen of verder gaat dan de instructies van onderneming A.

Voorbeeld: Betalingen door de bank

In het kader van de instructies van werkgever A, verstrekt de loonbeheerder informatie aan Bank B zodat deze de daadwerkelijke betaling aan de werknemers van werkgever A kan verrichten. Deze activiteit omvat de verwerking van persoonsgegevens door Bank B die dit doet met het oog op de uitoefening van bankactiviteiten. In het kader van deze activiteit bepaalt de bank onafhankelijk van werkgever A welke gegevens moeten worden verwerkt om de dienst te verlenen, hoelang de gegevens moeten worden opgeslagen enz. Werknemer A mag geen invloed hebben op het doel en de middelen van de verwerking van de gegevens door Bank B. Bank B moet daarom worden beschouwd als verwerkingsverantwoordelijke voor deze verwerking en de doorgifte van persoonsgegevens door de loonbeheerder moet worden beschouwd als een mededeling van informatie tussen twee verwerkingsverantwoordelijken, van werkgever A aan Bank B.

Voorbeeld: Accountants

Werkgever A huurt accountantskantoor C ook in om audits van zijn boekhouding uit te voeren en draagt derhalve gegevens over financiële transacties (met inbegrip van persoonsgegevens) over aan C. Accountantskantoor C verwerkt deze gegevens zonder gedetailleerde instructies van A. Accountantskantoor C beslist zelf, overeenkomstig de wettelijke bepalingen die de door C uitgevoerde audittaken regelen, dat de gegevens die het verzamelt alleen worden verwerkt om de audit van de boekhouding van A te verrichten en bepaalt welke gegevens het nodig heeft, welke categorieën personen worden geregistreerd, hoelang de gegevens worden bewaard en hoelang deze gegevens worden gebruikt. Onder deze omstandigheden moet accountantskantoor C worden beschouwd als verwerkingsverantwoordelijke op zich bij de uitvoering van zijn auditdiensten voor A. Deze beoordeling kan echter verschillen naar gelang van het niveau van de instructies van A. In een situatie waarin de wet in geen specifieke verplichtingen worden opgelegd aan het accountantskantoor en de klantenonderneming zeer gedetailleerde instructies geeft over de verwerking, zou het accountantskantoor inderdaad als gegevensverwerker optreden. Er kan een onderscheid worden gemaakt tussen een situatie waarin de verwerking - overeenkomstig de wetten die dit beroep regelen - wordt verricht in het kader van de kernactiviteit van het accountantskantoor, en die waarin de verwerking een beperktere, aanvullende taak is die in het kader van de activiteit van de klantenonderneming wordt uitgevoerd.

Voorbeeld: Hostingdiensten

Werkgever A huurt de hostingdienst H in om gecodeerde gegevens op de servers van H op te slaan. De hostingdienst H bepaalt niet of de door hem beheerde gegevens persoonsgegevens zijn; de gegevens worden evenmin op een andere manier verwerkt dan de opslag ervan op zijn servers. Aangezien opslag een voorbeeld is van een verwerkingsactiviteit van persoonsgegevens, verwerkt de hostingdienst H persoonsgegevens namens werkgever A en is hij derhalve een verwerker. Werkgever A moet H de nodige instructies verstrekken en er moet een gegevensverwerkingsovereenkomst als bedoeld in artikel 28 worden gesloten, waarbij H wordt verplicht technische en organisatorische beveiligingsmaatregelen te treffen. H moet A helpen ervoor te zorgen dat de nodige

beveiligingsmaatregelen worden genomen en hem in kennis stellen van inbreuken in verband met persoonsgegevens.

41. Hoewel beslissingen over niet-wezenlijke middelen aan de verwerker kunnen worden overgelaten, moet de verwerkingsverantwoordelijke nog steeds bepaalde elementen in de verwerkingsovereenkomst vastleggen, zoals - met betrekking tot het beveiligingsvereiste - bv. een instructie om alle krachtens artikel 32 van de AVG vereiste maatregelen te nemen. In de overeenkomst moet ook worden bepaald dat de verwerker de verwerkingsverantwoordelijke bijstaat bij het waarborgen van de naleving van bijvoorbeeld artikel 32. In ieder geval blijft de verwerkingsverantwoordelijke verantwoordelijk voor de uitvoering van passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking overeenkomstig de verordening wordt uitgevoerd (artikel 24). Daarbij moet de verwerkingsverantwoordelijke rekening houden met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsook met de risico's voor de rechten en vrijheden van natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke volledig op de hoogte zijn van de middelen die worden gebruikt, zodat hij een geïnformeerd besluit kan nemen in dit verband. Om de verwerkingsverantwoordelijke in staat te stellen de rechtmatigheid van de verwerking aan te tonen, verdient het aanbeveling om in de overeenkomst of een ander wettelijk bindend instrument tussen de verwerkingsverantwoordelijke en de verwerker, ten minste de noodzakelijke technische en organisatorische maatregelen vast te leggen.

Voorbeeld: Callcenter

Onderneming X beslist een deel van haar klantenservice uit te besteden aan een callcenter. Het callcenter ontvangt identificeerbare gegevens over aankopen van klanten en contactgegevens. Het callcenter gebruikt zijn eigen software en IT-infrastructuur om de persoonsgegevens van de klanten van onderneming X te beheren. Onderneming X ondertekent een verwerkingsovereenkomst met de aanbieder van het callcenter overeenkomstig artikel 28 AVG, nadat is vastgesteld dat de door het callcenter voorgestelde technische en organisatorische beveiligingsmaatregelen geschikt zijn voor de betrokken risico's en dat het callcenter de persoonsgegevens alleen verwerkt voor het doel van onderneming X en in overeenstemming met haar instructies. Onderneming X verstrekt het callcenter geen verdere instructies over specifieke te gebruiken software, noch gedetailleerde instructies met betrekking tot de specifieke beveiligingsmaatregelen die moeten worden getroffen. In dit voorbeeld blijft onderneming X een verwerkingsverantwoordelijke, ondanks het feit dat het callcenter bepaalde niet-wezenlijke middelen voor de verwerking heeft vastgesteld.

2.1.5 'Voor de verwerking van persoonsgegevens'

42. Het door de verwerkingsverantwoordelijke vastgestelde doel en de door de verwerkingsverantwoordelijke vastgestelde middelen moeten betrekking hebben op de 'verwerking van persoonsgegevens'. In artikel 4, lid 2, AVG wordt de verwerking van persoonsgegevens gedefinieerd als ' een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens '. Bijgevolg kan het begrip 'verwerkingsverantwoordelijke' worden gekoppeld aan één enkele verwerking of aan een geheel van verwerkingen. In de praktijk kan dit betekenen dat de zeggenschap door een bepaalde entiteit zich kan uitstrekken tot de gehele betrokken verwerking, maar ook tot een bepaald stadium van de verwerking worden beperkt. 16

43. In de praktijk kan de verwerking van persoonsgegevens waarbij meerdere partijen betrokken zijn, worden opgesplitst in meerdere kleinere bewerkingen waarvoor elke partij kan worden geacht het doel en de middelen afzonderlijk te bepalen. Anderzijds kan een reeks of geheel van verwerkingsoperaties waarbij meerdere partijen betrokken zijn, ook voor hetzelfde doel of dezelfde doelen plaatsvinden, in welk geval het mogelijk is dat bij de verwerking een of meer gezamenlijke verwerkingsverantwoordelijken betrokken zijn. Met andere woorden, het is mogelijk dat de verschillende verwerkingsactiviteiten van de keten op microniveau als ontkoppeld worden beschouwd, aangezien elke van deze verwerkingen een ander doel kan hebben. Er dient echter nogmaals te worden gecontroleerd of deze verwerkingsactiviteiten op 'macroniveau' niet moeten worden beschouwd als een 'geheel van bewerkingen' met een gemeenschappelijk doel met behulp van gezamenlijk gedefinieerde middelen.

44. Iedereen die beslist om gegevens te verwerken, moet nadenken over de vraag of die verwerking persoonsgegevens omvat en, zo ja, wat de verplichtingen zijn uit hoofde van de AVG. Een partij wordt als 'verwerkingsverantwoordelijke' beschouwd, zelfs als zij zich niet doelbewust richt op persoonsgegevens als zodanig of ten onrechte heeft geoordeeld dat zij geen persoonsgegevens verwerkt.

45. Het is niet noodzakelijk dat de verwerkingsverantwoordelijke daadwerkelijk toegang heeft tot de gegevens die worden verwerkt. 17 Iemand die een verwerkingsactiviteit uitbesteedt en daarbij een beslissende invloed heeft op het doel en de (wezenlijke) middelen van de verwerking (bijvoorbeeld door parameters van een dienst zodanig aan te passen dat deze van invloed zijn op de verwerking van persoonsgegevens), dient als verwerkingsverantwoordelijke te worden beschouwd, ook al heeft hij of zij nooit daadwerkelijk toegang tot de gegevens.

Voorbeeld: Marktonderzoek 1

Onderneming ABC wil inzicht krijgen in de soorten consumenten die het meest geïnteresseerd zijn in haar producten en neemt een dienstverlener, XYZ, in dienst om de relevante informatie te verkrijgen.

Onderneming ABC geeft XYZ instructies over het soort informatie waarin ze geïnteresseerd is en geeft een lijst met vragen die aan de deelnemers aan het marktonderzoek moeten worden gesteld.

Onderneming ABC ontvangt van XYZ alleen statistische informatie (bv. die consumententrends per regio identificeren) en heeft geen toegang tot de persoonsgegevens zelf. Onderneming ABC heeft niettemin besloten dat de verwerking moet plaatsvinden; de verwerking wordt voor haar doel en haar activiteit uitgevoerd en ze heeft XYZ gedetailleerde instructies verstrekt over welke informatie moet worden verzameld. Onderneming ABC dient daarom nog steeds te worden beschouwd als een verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens die plaatsvindt om de gevraagde informatie te verstrekken. XYZ mag de gegevens alleen verwerken voor het door onderneming ABC opgegeven doel en volgens haar gedetailleerde instructies en moet derhalve als verwerker worden beschouwd.

persoonsgegevens dan ook slechts gezamenlijk met anderen verantwoordelijk zijn in de zin van artikel 2, onder d), van richtlijn 95/46 wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen vaststelt. Daarentegen kan die natuurlijke of rechtspersoon, [...] niet worden geacht in de zin van die bepaling verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt'.

Voorbeeld: Marktonderzoek 2

Onderneming ABC wil inzicht krijgen in de soorten consumenten die het meest geïnteresseerd zijn in haar producten. Dienstverlener XYZ is een marktonderzoeksbureau dat informatie over de interesses van consumenten heeft verzameld door middel van verscheidene vragenlijsten die betrekking hebben op een breed scala aan producten en diensten. Dienstverlener XYZ heeft deze gegevens onafhankelijk verzameld en geanalyseerd volgens zijn eigen methodologie, zonder dat hij instructies van onderneming ABC heeft ontvangen. Om antwoord te geven op het verzoek van onderneming ABC, zal dienstverlener XYZ statistische informatie genereren, maar zonder verdere instructies te ontvangen over welke persoonsgegevens moeten worden verwerkt of hoe deze moeten worden verwerkt om deze statistieken te genereren. In dit voorbeeld treedt dienstverlener XYZ op als enige verwerkingsverantwoordelijke, die persoonsgegevens voor marktonderzoeksdoeleinden verwerkt, en die de middelen daarvoor autonoom vaststelt. Onderneming ABC heeft geen bijzondere rol of verantwoordelijkheid op grond van het gegevensbeschermingsrecht met betrekking tot deze verwerkingsactiviteiten, aangezien onderneming ABC geanonimiseerde statistieken ontvangt en niet betrokken is bij het vaststellen van het doel en de middelen van de verwerking.

3 DEFINITIE VAN GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN

3.1 Definitie van gezamenlijke verwerkingsverantwoordelijken

46. De kwalificatie als 'gezamenlijke verwerkingsverantwoordelijken' kan zich voordoen wanneer meer dan één partij bij de verwerking betrokken is.
47. Hoewel het begrip niet nieuw is en reeds bestond in het kader van Richtlijn 95/46/EG, worden in artikel 26 van de AVG specifieke regels voor gezamenlijke verwerkingsverantwoordelijken ingevoerd en wordt een kader vastgesteld om hun betrekkingen te regelen. Daarnaast heeft het Hof van Justitie van de Europese Unie (HvJ-EU) in recente arresten duidelijkheid verschaft over dit begrip en de implicaties ervan. 18
48. Zoals verder uitgewerkt in deel II, afdeling 2, zal de kwalificatie van gezamenlijke verwerkingsverantwoordelijken vooral gevolgen hebben voor de toewijzing van verplichtingen voor de naleving van de gegevensbeschermingsregels en met name voor de rechten van personen.
49. In dit verband is het volgende deel bedoeld als leidraad voor het begrip 'gezamenlijke verwerkingsverantwoordelijken' in overeenstemming met de AVG en de jurisprudentie van het HvJEU om entiteiten te helpen bepalen waar zij mogelijk als gezamenlijke verwerkingsverantwoordelijken optreden en hoe ze het begrip in de praktijk kunnen toepassen.

3.2 Bestaan van gezamenlijke verantwoordelijkheid voor de verwerking

3.2.1 Algemene overwegingen

50. De definitie van een verwerkingsverantwoordelijke in artikel 4, lid 7, van de AVG vormt het uitgangspunt voor het bepalen van de gezamenlijke verantwoordelijkheid voor de verwerking. De overwegingen in deze afdeling houden dus rechtstreeks verband met de overwegingen in de afdeling over het begrip 'verwerkingsverantwoordelijke' en vormen er een aanvulling op. Bijgevolg behoort een gezamenlijke verantwoordelijkheid voor de verwerking op dezelfde wijze te worden beoordeeld als een 'individuele' verantwoordelijkheid voor de verwerking, zoals hierboven omschreven.
51. In artikel 26 van de AVG, waarin de definitie in artikel 4, lid 7, van de AVG wordt weerspiegeld, wordt bepaald: ' wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken .' In brede zin is er sprake van gezamenlijke verantwoordelijkheid met betrekking tot een specifieke verwerkingsactiviteit wanneer verschillende partijen gezamenlijk het doel en de middelen van deze verwerkingsactiviteit bepalen. Voor de beoordeling van het bestaan van gezamenlijke verwerkingsverantwoordelijken moet daarom worden onderzocht of de vaststelling van het doel en de middelen die een verwerkingsverantwoordelijke kenmerken, door meer dan één partij wordt bepaald. In dit verband moet 'gezamenlijk' worden uitgelegd als 'samen met' of 'niet alleen' in verschillende vormen en combinaties, zoals hieronder nader wordt toegelicht.
52. De beoordeling van de gezamenlijke verantwoordelijkheid voor de verwerking dient eerder op een feitelijke dan een formele analyse te berusten van de werkelijke invloed op het doel en de middelen van de verwerking. Alle bestaande of voorgenomen regelingen dienen te worden getoetst aan de feitelijke omstandigheden met betrekking tot de relatie tussen de partijen. Een zuiver formeel criterium zou om ten minste twee redenen niet toereikend zijn: in bepaalde gevallen zou een formele aanstelling van een gezamenlijk verwerkingsverantwoordelijke - bijvoorbeeld bij wet of in een overeenkomst - ontbreken. In andere gevallen kan het gebeuren dat de formele aanstelling niet strookt met de realiteit van de regelingen, doordat de rol van de verwerkingsverantwoordelijke formeel wordt toevertrouwd aan een entiteit die feitelijk niet in staat is het doel en de middelen van de verwerking 'vast te stellen'.
53. Niet alle verwerkingen waarbij meerdere entiteiten betrokken zijn, geven aanleiding tot gezamenlijke verantwoordelijkheid voor de verwerking. Het overkoepelende criterium voor het bestaan van gezamenlijke verantwoordelijkheid voor de verwerking is de gezamenlijke deelname van twee of meer entiteiten aan de vaststelling van het doel en de middelen van een verwerking. Meer in het bijzonder moet de gezamenlijke deelname de vaststelling van het doel enerzijds en de vaststelling van de middelen anderzijds omvatten. Indien elk van deze elementen door alle betrokken entiteiten wordt vastgesteld, dienen zij te worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking in kwestie.

3.2.2 Beoordeling van de gezamenlijke deelname

54. Gezamenlijke deelname aan de vaststelling van het doel en de middelen houdt in dat meer dan één entiteit beslissende invloed heeft op de vraag of en hoe de verwerking plaatsvindt. In de praktijk kan gezamenlijke deelname verschillende vormen aannemen. Gezamenlijke deelname kan bijvoorbeeld de vorm aannemen van een door twee of meer entiteiten genomen gezamenlijk besluit of het resultaat zijn van convergerende beslissingen van twee of meer entiteiten met betrekking tot het doel en de wezenlijke middelen.

55. Gezamenlijke deelname door middel van een gezamenlijke beslissing houdt in dat er gezamenlijk wordt beslist en dat er sprake is van een gemeenschappelijk voornemen overeenkomstig de meest gebruikelijke uitlegging van de term 'gezamenlijk' als bedoeld in artikel 26 van de AVG.

De situatie van gezamenlijke deelname door middel van convergerende beslissingen vloeit meer in het bijzonder voort uit de jurisprudentie van het HvJ-EU inzake het begrip 'gezamenlijke verwerkingsverantwoordelijken'. Beslissingen kunnen worden geacht convergerend te zijn inzake het doel en de middelen indien zij elkaar aanvullen en noodzakelijk zijn om de verwerking op zodanige wijze te laten plaatsvinden dat zij een tastbaar effect hebben op de vaststelling van het doel en de middelen van de verwerking. Er zij op gewezen dat het begrip 'convergerende beslissingen' moet worden beschouwd met betrekking tot het doel en de middelen van de verwerking, maar niet met betrekking tot andere aspecten van de commerciële relatie tussen de partijen. 19 Een belangrijk criterium voor het identificeren van convergerende beslissingen in dit verband is of de verwerking niet mogelijk zou zijn zonder deelname van beide partijen aan het doel en de middelen in die zin dat de verwerking door elke partij onscheidbaar, d.w.z. onlosmakelijk met die van de andere verbonden is. De situatie van gezamenlijke verwerkingsverantwoordelijken die op basis van convergerende beslissingen handelen, dient echter te worden onderscheiden van het geval waarin een verwerker optreedt, aangezien deze, hoewel hij deelneemt aan de uitvoering van een verwerking, de gegevens niet voor zijn eigen doel verwerkt, maar de verwerking verricht namens de verwerkingsverantwoordelijke.

56. Het feit dat een van de partijen geen toegang heeft tot verwerkte persoonsgegevens volstaat niet om de gezamenlijke verantwoordelijkheid voor de verwerking uit te sluiten. 20 Zo was het HvJ-EU in de zaak Jehova's getuigen van oordeel dat een geloofsgemeenschap samen met haar leden-verkondigers kan worden beschouwd als verantwoordelijke voor de verwerking van de persoonsgegevens die laatstgenoemden in het kader van een door deze gemeenschap van-huis-tot-huisverkondiging verrichten. 21 Het HvJ-EU achtte het niet nodig dat die gemeenschap toegang heeft tot die gegevens of dat wordt aangetoond dat zij haar leden schriftelijke richtsnoeren of instructies voor die verwerking heeft gegeven. 22 De gemeenschap heeft deelgenomen aan de vaststelling van het doel en de middelen door de activiteiten van haar leden te organiseren en te coördineren, hetgeen heeft bijgedragen tot de verwezenlijking van de doelstelling van de gemeenschap van Jehova's getuigen. 23 Bovendien had de gemeenschap in de regel kennis van het feit dat een dergelijke verwerking werd uitgevoerd voor de verbreiding van haar geloof. 24
57. Het is ook belangrijk te onderstrepen, zoals verduidelijkt door het HvJ-EU, dat een entiteit alleen als gezamenlijke verwerkingsverantwoordelijke met de andere (n) zal worden beschouwd met betrekking tot de handelingen waarvoor zij, samen met anderen, de middelen en het doel van dezelfde gegevensverwerking vaststelt, met name in het geval van convergerende beslissingen. Indien een van deze entiteiten alleen beslist over het doel van en de middelen voor bewerkingen die voorafgaan aan

19 Alle handelsovereenkomsten impliceren immers convergerende beslissingen in het kader van het proces waarmee een akkoord wordt bereikt.

22 Ibid.

24 Ibid.

23 Ibid, punt 71.

• of zich daarna in de verwerkingsketen bevinden, moet deze entiteit worden beschouwd als de enige verantwoordelijke voor de uitvoering van deze vroegere of latere bewerking. 25

58. Het bestaan van een gezamenlijke verantwoordelijkheid impliceert niet noodzakelijkerwijs een gelijke verantwoordelijkheid van de verschillende actoren die betrokken zijn bij de verwerking van persoonsgegevens. Integendeel, het HvJ-EU heeft verduidelijkt dat die actoren in verschillende stadia van die verwerking en in verschillende mate betrokken kunnen zijn, zodat het verantwoordelijkheidsniveau van elk van hen moet worden beoordeeld met inachtneming van alle relevante omstandigheden van het concrete geval.

3.2.2.1 Gezamenlijk bepaald (e) doel (en)

59. Er is sprake van gezamenlijke verwerkingsverantwoordelijkheid wanneer entiteiten die bij dezelfde verwerking betrokken zijn, de verwerking voor gezamenlijk bepaalde doelen uitvoeren. Dit is het geval als de betrokken entiteiten de gegevens voor dezelfde of gemeenschappelijke doelen verwerken.
60. Bovendien kan er, wanneer de entiteiten niet hetzelfde doel hebben voor de verwerking, in het licht van de rechtspraak van het HvJ-EU ook sprake zijn van gezamenlijke verwerkingsverantwoordelijkheid wanneer de betrokken entiteiten nauw met elkaar verbonden of complementaire doelen nastreven. Dit kan bijvoorbeeld het geval zijn wanneer dezelfde verwerking een wederzijds voordeel oplevert, mits iedere betrokken entiteiten deelneemt aan de vaststelling van het doel en de middelen van de betrokken verwerking. Het begrip wederzijds voordeel is echter niet doorslaggevend en kan slechts een indicatie zijn. In de zaak Fashion ID bijvoorbeeld verduidelijkte het HvJ-EU dat een beheerder van een internetsite deelneemt aan de vaststelling van het doel (en de middelen) van de verwerking door een social plug-in de internetsite te voegen om de reclame voor de producten van Fashion ID te optimaliseren door de zichtbaarheid ervan op het sociale netwerk te vergroten. Het HvJEU was van oordeel dat de betrokken verwerkingen werden verricht in het economische belang van zowel de websitebeheerder als de aanbieder van de social plug-in. 26
61. Evenzo heeft het HvJ-EU in de zaak Wirtschaftsakademie opgemerkt dat de verwerking van persoonsgegevens via statistieken van bezoekers van een fanpagina bedoeld is om Facebook in staat te stellen het advertentiesysteem dat zij via haar netwerk verspreidt te verbeteren en de beheerder van de fanpagina in staat te stellen met het oog op het beheer van de promotie voor zijn activiteit statistieken te verkrijgen. 27 Elke entiteit streeft in dit geval haar eigen belang na, maar beide partijen nemen deel aan de vaststelling van het doel (en de middelen) van de verwerking van persoonsgegevens met betrekking tot de bezoekers van de fanpagina. 28
62. In dit verband is het van belang erop te wijzen dat het loutere bestaan van een wederzijds voordeel (voor bv. commerciële doeleinden) dat voortvloeit uit een verwerkingsactiviteit, niet leidt tot gezamenlijke verantwoordelijkheid voor de verwerking. Indien de bij de verwerking betrokken entiteit geen eigen doel (en) met betrekking tot de verwerkingsactiviteit nastreeft, maar alleen voor verleende diensten wordt betaald, treedt zij op als verwerker in plaats van als gezamenlijk verwerkingsverantwoordelijke.

3.2.2.2 Gezamenlijk bepaalde middelen

63. Voor gezamenlijke verwerking is ook vereist dat twee of meer entiteiten invloed hebben uitgeoefend op de middelen van de verwerking. Dit betekent niet dat, wil er sprake zijn van gezamenlijke verantwoordelijkheid, elke betrokken entiteit in alle gevallen alle middelen moet bepalen. Zoals het HvJ-EU heeft verduidelijkt, kunnen immers verschillende entiteiten betrokken zijn in verschillende stadia van die verwerking en in verschillende mate. Daarom kunnen verschillende gezamenlijke verwerkingsverantwoordelijken de middelen voor de verwerking in verschillende mate definiëren, afhankelijk van wie daartoe daadwerkelijk in staat is.
64. Het kan ook zo zijn dat een van de betrokken entiteiten de middelen voor de verwerking verstrekt en deze beschikbaar stelt voor activiteiten op het gebied van de verwerking van persoonsgegevens door andere entiteiten. De entiteit die besluit van die middelen gebruik te maken, zodat persoonsgegevens voor een bepaald doel kunnen worden verwerkt, neemt ook deel aan de vaststelling van de middelen voor de verwerking.
65. Dit scenario kan zich met name voordoen in het geval van platforms, gestandaardiseerde instrumenten of andere infrastructuur die de partijen in staat stelen dezelfde persoonsgegevens te verwerken en die op een bepaalde manier door een van de partijen zijn opgezet om te worden gebruikt door andere partijen, die ook kunnen beslissen hoe ze worden opgezet. 29 Het gebruik van een reeds bestaand technisch systeem sluit gezamenlijke verantwoordelijkheid niet uit wanneer gebruikers van het systeem kunnen beslissen over de uit te voeren verwerking van persoonsgegevens in dit verband.
66. Als voorbeeld heeft het HvJ-EU in de zaak Wirtschaftsakademie geoordeeld dat de beheerder van een fanpagina op Facebook, door het vastleggen van instellingen op basis van zijn doelgroep en de doelstellingen voor het beheer en de promotie van zijn activiteiten, deelneemt aan de vaststelling van het doel en de middelen voor de verwerking van persoonsgegevens met betrekking tot de bezoekers van zijn fanpagina.
67. Bovendien zal door een entiteit gemaakte keuze om voor eigen doelen een door een andere entiteit ontwikkeld instrument of ander systeem te gebruiken dat de verwerking van persoonsgegevens mogelijk maakt, waarschijnlijk neerkomen op een gezamenlijke beslissing over de middelen voor die verwerking door die entiteiten. Dit volgt uit de zaak Fashion ID , waarin het HvJ-EU concludeerde dat Fashion ID, door de door Facebook aan beheerders van internetsites ter beschikking gestelde vind-ikleukknop op haar internetsite in te voegen, op beslissende wijze invloed heeft uitgeoefend op de activiteiten waarbij de persoonsgegevens van de bezoekers van haar website aan Facebook werden verzameld en doorgegeven, en dus samen met Facebook de middelen voor die verwerking heeft vastgesteld. 30
68. Het is belangrijk te benadrukken dat het gebruik van een gemeenschappelijk (e) gegevensverwerkingssysteem of -infrastructuur niet in alle gevallen zal leiden tot de kwalificatie van de betrokken partijen als gezamenlijke verwerkingsverantwoordelijken , met name wanneer de door hen uitgevoerde verwerking scheidbaar is en door de ene partij zonder tussenkomst van de andere partij kan worden uitgevoerd, of wanneer de aanbieder een verwerker is zonder enig eigen doel (het bestaan van een louter commercieel voordeel voor de betrokken partijen volstaat niet om als verwerkingsdoel te worden aangemerkt).

29 De aanbieder van het systeem kan een gezamenlijke verwerkingsverantwoordelijke zijn als aan de bovengenoemde criteria is voldaan, d.w.z. als de aanbieder deelneemt aan de vaststelling van het doel en de middelen. Anders dient de aanbieder als verwerker te worden beschouwd.

Voorbeeld: Reisbureau

Een reisbureau stuurt persoonsgegevens van zijn klanten naar de luchtvaartmaatschappij en een hotelketen om een reispakket te reserveren. De luchtvaartmaatschappij en het hotel bevestigen dat de gevraagde stoelen en ruimten beschikbaar zijn. Het reisbureau geeft de reisdocumenten en vouchers af voor zijn klanten. Elke partij verwerkt de gegevens voor het uitvoeren van haar eigen activiteiten en met gebruik van eigen middelen. In dit geval zijn het reisbureau, de luchtvaartmaatschappij en het hotel drie verschillende verwerkingsverantwoordelijken die de gegevens voor hun eigen en afzonderlijke doelen verwerken en is er geen sprake van gezamenlijke verantwoordelijkheid.

Het reisbureau, de hotelketen en de luchtvaartmaatschappij besluiten vervolgens gezamenlijk deel te nemen aan het opzetten van een gemeenschappelijk online platform met de gemeenschappelijke bedoeling om pakketreizen aan te bieden. Zij bereiken overeenstemming over de wezenlijke middelen die moeten worden gebruikt, waaronder welke gegevens zullen worden opgeslagen, de wijze waarop reserveringen zullen worden toegewezen en bevestigd, en wie toegang tot de opgeslagen informatie heeft. Daarnaast besluiten zij de gegevens van hun klanten te delen om gezamenlijke marketingactiviteiten uit te voeren. In dit geval stellen het reisbureau, de luchtvaartmaatschappij en de hotelketen gezamenlijk vast waarom en hoe persoonsgegevens van hun respectieve klanten worden verwerkt en zullen zij dus gezamenlijke verwerkingsverantwoordelijken zijn met betrekking tot de verwerkingsactiviteiten in verband met het gemeenschappelijke online boekingsplatform en de gezamenlijke marketingacties. Ieder van hen behoudt echter nog steeds de uitsluitende zeggenschap ten aanzien van andere verwerkingsactiviteiten buiten het gemeenschappelijke onlineplatform.

Voorbeeld: Onderzoeksproject door instellingen

Verscheidene onderzoeksinstellingen besluiten deel te nemen aan een specifiek gezamenlijk onderzoeksproject en daartoe gebruik te maken van het bestaande platform van een van de bij het project betrokken instellingen. Elke instelling voert persoonsgegevens in het platform in die ze al in haar bezit heeft ten behoeve van het gezamenlijke onderzoek en gebruikt de door anderen via het platform verstrekte gegevens voor de uitvoering van het onderzoek. In dit geval worden alle instellingen aangemerkt als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens die plaatsvindt door middel van het opslaan en bekendmaken van informatie uit dit platform, aangezien zij samen het doel van de verwerking en de te gebruiken middelen (het bestaande platform) hebben bepaald. Elke instelling is echter een afzonderlijke verwerkingsverantwoordelijke voor alle andere verwerkingen die voor hun respectieve doeleinden buiten het platform kunnen worden uitgevoerd.

Voorbeeld: Marketingactiviteit

De ondernemingen A en B hebben een cobranding product C op de markt gebracht en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun respectieve database voor klanten en potentiële klanten te delen en op basis daarvan de lijst van genodigden voor het evenement vast te stellen. Zij komen ook de modaliteiten overeen voor het verzenden van de uitnodigingen voor het evenement, de wijze waarop feedback tijdens het evenement wordt verzameld en de follow-upmarketingacties. Ondernemingen A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotie-evenement, aangezien zij samen

beslissen over het gezamenlijk bepaalde doel en de wezenlijke middelen voor de gegevensverwerking in dit verband.

Voorbeeld: Klinische proeven 31

Een zorgverlener (de onderzoeker) en een universiteit (de sponsor) besluiten samen een klinische proef met hetzelfde doel te starten. Zij werken samen aan het opstellen van het onderzoeksprotocol (d.w.z. doel, methodologie/opzet van de studie, te verzamelen gegevens, opname-/ en uitsluitingscriteria voor proefpersonen, hergebruik van gegevensbanken (indien relevant) enz.). Zij kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor deze klinische proef, aangezien zij gezamenlijk hetzelfde doel en de wezenlijke middelen voor de verwerking vaststellen en overeenkomen. De verzameling van persoonsgegevens uit het medisch dossier van de patiënt voor onderzoeksdoeleinden moet worden onderscheiden van de opslag en het gebruik van dezelfde gegevens voor patiëntenzorg, waarvoor de zorgaanbieder de verwerkingsverantwoordelijke blijft.

Indien de onderzoeker niet deelneemt aan de opstelling van het protocol (hij aanvaardt alleen het reeds door de sponsor opgestelde protocol) en het protocol alleen door de sponsor wordt opgezet, dient de onderzoeker te worden beschouwd als verwerker en dient de sponsor te worden beschouwd als de verwerkingsverantwoordelijke voor deze klinische proef.

Voorbeeld: Headhunters

Onderneming X helpt onderneming Y bij de werving van nieuw personeel - met haar bekende toegevoegde-waarde-dienst 'Global matchz'. Onderneming X zoekt geschikte kandidaten, zowel in de cv's die rechtstreeks bij onderneming Y binnenkomen als in de cv's die zij reeds in haar eigen database heeft opgeslagen. Deze database wordt door onderneming X zelf opgezet en beheerd. Dit zorgt ervoor dat onderneming X de afstemming tussen vacatures en werkzoekenden verbetert en zo haar inkomsten verhoogt. Hoewel zij formeel samen geen beslissing hebben genomen, nemen de ondernemingen X en Y gezamenlijk deel aan de verwerking met het oog op het vinden van geschikte kandidaten op basis van convergerende beslissingen: de beslissing van onderneming X om de dienst 'Global matchz' te creëren en te beheren en de beslissing van onderneming Y om de database te verrijken met de cv's die zij rechtstreeks binnenkrijgt. Dergelijke beslissingen vullen elkaar aan, zijn onscheidbaar en noodzakelijk opdat de verwerking van de zoektocht naar geschikte kandidaten zou plaatsvinden. Daarom dienen zij in dit specifieke geval te worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor dergelijke verwerking. Onderneming X is echter de enige verantwoordelijke voor de verwerking die nodig is voor het beheer van haar database en onderneming Y is de enige verantwoordelijke voor het de daaropvolgende inhuren van verwerking voor haar eigen doel (organisatie van gesprekken, sluiten van de overeenkomst en beheer van HR-gegevens).

Voorbeeld: Analyse van gezondheidsgegevens

Onderneming ABC, de ontwikkelaar van een app voor bloeddrukbewaking, en onderneming XYZ, een aanbieder van apps voor gezondheidsbeoefenaars, willen allebei onderzoeken hoe veranderingen in

31 Het EDPB is voornemens nadere richtsnoeren te verstrekken met betrekking tot klinische proeven in het kader van zijn toekomstige richtsnoeren voor de verwerking van persoonsgegevens voor medische en wetenschappelijke doeleinden.

de bloeddruk bepaalde ziekten kunnen helpen voorspellen. De ondernemingen besluiten een gezamenlijk project op te zetten en nemen contact op met ziekenhuis DEF om hem er ook bij te betrekken.

De persoonsgegevens die in het kader van dit project zullen worden verwerkt, bestaan uit persoonsgegevens die onderneming ABC, ziekenhuis DEF en onderneming XYZ afzonderlijk verwerken als individuele verwerkingsverantwoordelijken. De beslissing om deze gegevens te verwerken om veranderingen in de bloeddruk te beoordelen, wordt gezamenlijk genomen door de drie partijen. Onderneming ABC, ziekenhuis DEF en onderneming XYZ hebben gezamenlijk de verwerkingsdoeleinden vastgesteld. Onderneming XYZ neemt het initiatief om de wezenlijke verwerkingsmiddelen voor te stellen. Zowel onderneming ABC als ziekenhuis DEF aanvaarden deze wezenlijke middelen nadat zij ook betrokken waren bij de ontwikkeling van een aantal kenmerken van de app, zodat de resultaten door hen voldoende kunnen worden gebruikt. De drie organisaties zijn het er dus over eens dat zij een gezamenlijk doel hebben voor de verwerking, namelijk de beoordeling van de wijze waarop veranderingen in de bloeddruk bepaalde ziekten kunnen helpen voorspellen. Zodra het onderzoek is afgerond, kunnen onderneming ABC, ziekenhuis DEF en onderneming XYZ van de beoordeling profiteren door de resultaten ervan in hun eigen activiteiten te gebruiken. Om al deze redenen worden zij als gezamenlijke verwerkingsverantwoordelijken voor deze specifieke gezamenlijke verwerking aangemerkt.

Indien onderneming XYZ eenvoudigweg door de anderen was gevraagd deze beoordeling uit te voeren zonder enig eigen doel te hebben en slechts gegevens voor rekening van de anderen zou verwerken, zou onderneming XYZ als verwerker worden aangemerkt, zelfs indien zij belast was met de vaststelling van de niet-wezenlijke middelen.

3.2.3 Situaties waarin er geen gezamenlijke verantwoordelijkheid voor de verwerking is

69. Het feit dat verschillende partijen bij dezelfde verwerking betrokken zijn, betekent niet dat zij noodzakelijkerwijs optreden als gezamenlijke verwerkingsverantwoordelijken voor een dergelijke verwerking. Niet alle soorten partnerschap, samenwerking of medewerking impliceren de kwalificatie ' gezamenlijke verwerkingsverantwoordelijken' als zodanig, aangezien een dergelijke kwalificatie een analyse per geval van elke betrokken verwerking en de precieze rol van elke entiteit met betrekking tot elke verwerking vereist. In de onderstaande gevallen worden niet-limitatieve voorbeelden gegeven van situaties waarin er geen gezamenlijke verantwoordelijkheid voor de verwerking bestaat.
70. Zo dient de uitwisseling van dezelfde gegevens of groep gegevens tussen twee entiteiten zonder gezamenlijk bepaalde doelen of gezamenlijk vastgestelde verwerkingsmethoden te worden beschouwd als een doorgifte van gegevens tussen afzonderlijke verwerkingsverantwoordelijken.

Voorbeeld: Doorgifte van gegevens van werknemers aan belastingautoriteiten

Een bedrijf verzamelt en verwerkt persoonsgegevens van haar werknemers met het oog op het beheer van lonen, ziektekostenverzekeringen enz. Een wet verplicht de onderneming alle loongegevens aan de belastingautoriteiten mee te delen, teneinde de fiscale controle te ondersteunen.

Hoewel in dit geval zowel de onderneming als de belastingautoriteiten dezelfde gegevens met betrekking tot lonen verwerken, zal het ontbreken van een gezamenlijk bepaald doel en gezamenlijk bepaalde middelen met betrekking tot deze gegevensverwerking ertoe leiden dat de twee entiteiten worden aangemerkt als twee afzonderlijke verwerkingsverantwoordelijken.

71. Gezamenlijke verantwoordelijkheid voor de verwerking kan ook worden uitgesloten in een situatie waarin meerdere entiteiten gebruikmaken van een gedeelde database of een gemeenschappelijke infrastructuur, indien elke entiteit zelfstandig haar eigen doelstellingen vaststelt.

Voorbeeld: Marketingactiviteiten in een groep ondernemingen die gebruikmaken van een gedeelde database:

Een groep ondernemingen gebruikt dezelfde database voor het beheer van cliënten en mogelijke cliënten. Een dergelijke database wordt gehost op de servers van de moederonderneming, die dus een verwerker van de ondernemingen is met betrekking tot de opslag van de gegevens. Elke entiteit van de groep voert de gegevens van haar eigen cliënten en mogelijke cliënten in en verwerkt deze gegevens uitsluitend voor haar eigen doel. Ook beslist elke entiteit onafhankelijk over de toegang, de bewaringstermijnen, de correctie of verwijdering van de gegevens over haar cliënten en mogelijke cliënten. Zij kunnen geen toegang hebben tot elkaars gegevens of deze gebruiken. Het loutere feit dat deze ondernemingen een gedeelde groepsdatabase gebruiken, houdt als zodanig geen gezamenlijke verantwoordelijkheid in. Onder deze omstandigheden is elke onderneming dus een afzonderlijke verwerkingsverantwoordelijke.

Voorbeeld: Onafhankelijke verwerkingsverantwoordelijken die gebruikmaken van een gedeelde infrastructuur

Onderneming XYZ beheert een database en stelt deze ter beschikking van andere ondernemingen voor de verwerking en hosting van persoonsgegevens over hun werknemers. Onderneming XYZ is een verwerker met betrekking tot de verwerking en opslag van de gegevens van werknemers van andere ondernemingen, aangezien deze handelingen voor rekening en volgens de instructies van deze andere ondernemingen worden uitgevoerd. Bovendien verwerken de andere ondernemingen de gegevens zonder enige betrokkenheid van onderneming XYZ en voor een doel dat die op geen enkele wijze door onderneming XYZ wordt gedeeld.

72. Er kunnen zich ook situaties voordoen waarin verschillende partijen achtereenvolgens dezelfde persoonsgegevens verwerken in een keten van activiteiten, waarbij elke partij een onafhankelijk doel en onafhankelijke middelen in haar deel van de keten heeft. Indien niet gezamenlijk wordt deelgenomen aan de vaststelling van het doel en de middelen van dezelfde verwerkingsactiviteit of reeks verwerkingsactiviteiten, moet gezamenlijke verantwoordelijkheid voor de verwerking worden uitgesloten en moeten de verschillende partijen worden beschouwd als opeenvolgende onafhankelijke verwerkingsverantwoordelijken.

Voorbeeld: Statistische analyse voor een taak van algemeen belang

Een overheidsinstantie (autoriteit A) heeft de wettelijke opdracht om ter zake dienende analyses en statistieken op te maken over de ontwikkeling van de werkgelegenheidsgraad in het land. Daartoe zijn veel andere overheidsinstanties wettelijk verplicht specifieke gegevens aan autoriteit A te verstrekken. Autoriteit A besluit een specifiek systeem te gebruiken voor de verwerking van de gegevens, met inbegrip van het verzamelen ervan. Dit betekent ook dat de andere eenheden verplicht zijn het systeem te gebruiken wanneer zij gegevens openbaar maken. In dit geval is autoriteit A, onverminderd de eventuele bij wet toegekende rollen, de enige verantwoordelijke voor de verwerking met het oog op analyses en statistieken van de in het systeem verwerkte werkgelegenheidsgraad, omdat autoriteit A het doel van de verwerking bepaalt en heeft besloten hoe de verwerking zal worden georganiseerd. Uiteraard zijn de andere overheidsinstanties, als verwerkingsverantwoordelijken voor hun eigen

verwerkingsactiviteiten, verantwoordelijk voor de nauwkeurigheid van de gegevens die zij eerder hebben verwerkt, die zij vervolgens doorgeven aan autoriteit A.

4 DEFINITIE VAN VERWERKER

73. Een verwerker wordt in artikel 4, lid 8, van de AVG gedefinieerd als 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt'. Net als bij de definitie van 'verwerkingsverantwoordelijke' heeft de definitie van verwerker betrekking op heel wat partijen het kan gaan om 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan '. Dit betekent dat er in beginsel geen beperking bestaat ten aanzien van welk type partij de rol van verwerker kan vervullen. Het kan een organisatie zijn, maar het kan ook een persoon zijn.
74. De AVG bevat verplichtingen die rechtstreeks van toepassing zijn op verwerkers, zoals nader gespecificeerd in deel II, afdeling 1, van deze richtsnoeren. Een verwerker kan aansprakelijk worden gesteld of beboet in geval van niet-naleving van dergelijke verplichtingen of wanneer hij buiten of in strijd met de wettelijke instructies van de verwerkingsverantwoordelijke handelt.
75. Bij de verwerking van persoonsgegevens kunnen meerdere verwerkers betrokken zijn. Zo kan een verwerkingsverantwoordelijke zelf ervoor kiezen meerdere verwerkers rechtstreeks aan te stellen door verschillende verwerkers in afzonderlijke stadia van de verwerking te betrekken (meerdere verwerkers). Een verwerkingsverantwoordelijke kan ook besluiten één verwerker aan te stellen, die op zijn beurt - met toestemming van de verwerkingsverantwoordelijke - een of meer andere verwerkers ('subverwerker (s)') aanstelt. De verwerkingsactiviteiten die aan een verwerker worden toevertrouwd kunnen beperkt blijven tot een zeer specifieke taak of context of kunnen van vrij algemene en alomvattende aard zijn.
76. De twee centrale voorwaarden om een partij als verwerker te kunnen aanmerken zijn:

• a) dat ze een aparte rechtspersoon is, die los van de verwerkingsverantwoordelijke staat, en
• b) dat ze persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt.

77. Een aparte rechtspersoon betekent d at de verwerkingsverantwoordelijke beslist de verwerkingsactiviteiten geheel of gedeeltelijk aan een externe organisatie te delegeren. Binnen een groep ondernemingen kan een onderneming een verwerker zijn van een andere onderneming die optreedt als verwerkingsverantwoordelijke, aangezien beide vennootschappen afzonderlijke entiteiten zijn. Daarentegen kan een afdeling van een onderneming geen verwerker zijn van een andere afdeling binnen dezelfde eenheid.
78. Indien de verwerkingsverantwoordelijke besluit de gegevens zelf te verwerken, met gebruikmaking van zijn eigen middelen binnen zijn organisatie, bijvoorbeeld via zijn eigen personeel, is er geen sprake van een verwerkerssituatie. Werknemers en andere personen die rechtstreeks onder het gezag van de verwerkingsverantwoordelijke handelen, zoals tijdelijk aangeworven personeel, moeten niet als verwerkers worden beschouwd, aangezien zij persoonsgegevens zullen verwerken als onderdeel van de entiteit van de verwerkingsverantwoordelijke. Overeenkomstig artikel 29 zijn zij ook gebonden aan de instructies van de verwerkingsverantwoordelijke.
79. Voor de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke is in de eerste plaats vereist dat de aparte rechtspersoon persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke. In artikel 4, lid 2, wordt verwerking gedefinieerd als een begrip dat een

• breed scala aan bewerkingen omvat, gaande van het verzamelen, opslaan en raadplegen tot het gebruiken, verspreiden of op andere wijze ter beschikking stellen en vernietigen. Het begrip 'verwerking' wordt hierboven in punt 2.1.5 nader beschreven.

80. Ten tweede moet de verwerking worden verricht namens een verwerkingsverantwoordelijke, maar niet onder diens rechtstreekse gezag of controle. Handelen 'namens' betekent het dienen van andermans belangen en herinnert aan het rechtsbegrip 'delegatie'. In het geval van gegevensbeschermingswetgeving wordt een verwerker verzocht de instructies van de verwerkingsverantwoordelijke ten minste toe te passen met betrekking tot het doel van de verwerking en de wezenlijke aspecten van de middelen. De rechtmatigheid van de verwerking overeenkomstig artikel 6 en, in voorkomend geval, artikel 9 van de verordening, wordt afgeleid uit de activiteit van de verwerkingsverantwoordelijke en de verwerker mag de gegevens niet op een andere manier verwerken dan volgens de instructies van de verwerkingsverantwoordelijke. Toch kunnen, zoals hierboven beschreven, de instructies van de verwerkingsverantwoordelijke nog steeds een zekere mate van vrijheid laten wat betreft de wijze waarop de belangen van de verwerkingsverantwoordelijke het best kunnen worden behartigd, zodat de verwerker de meest geschikte technische en organisatorische middelen kan kiezen. 32
81. Optreden 'namens' betekent ook dat de verwerker de verwerking niet voor zijn eigen doel mag uitvoeren. Zoals bepaald in artikel 28, lid 10, schendt een verwerker de AVG door verder te gaan dan de instructies van de verwerkingsverantwoordelijke en zijn eigen doeleinden en middelen voor verwerking vast te stellen. De verwerker wordt met betrekking tot die verwerking als een verwerkingsverantwoordelijke beschouwd en kan worden bestraft met sancties omdat hij verder is gegaan dan de instructies van de verwerkingsverantwoordelijke.

Voorbeeld: Dienstverlener, 'verwerker' genoemd, maar die handelt als verwerkingsverantwoordelijke

Dienstverlener MarketinZ levert reclameen direct marketingdiensten aan verschillende ondernemingen. De onderneming GoodProductZ sluit een overeenkomst met MarketinZ, volgens welke laatstgenoemde onderneming commerciële reclame maakt voor klanten van GoodProductZ en wordt aangeduid als verwerker van gegevens. MarketinZ besluit echter om de klantendatabase van GoodProducts ook te gebruiken voor een ander doel dan reclame voor GoodProducts, zoals de ontwikkeling van haar eigen bedrijfsactiviteiten. De beslissing om een aanvullend doel toe te voegen aan het doel waarvoor de persoonsgegevens zijn doorgegeven, transformeert MarketinZ tot verwerkingsverantwoordelijke voor deze reeks verwerkingsactiviteiten en de verwerking ervan voor dit doel zou een inbreuk op de AVG zou vormen.

82. Het EDPB herinnert eraan dat niet elke dienstverlener die bij de levering van een dienst persoonsgegevens verwerkt, een 'verwerker' is in de zin van de AVG. De rol van een verwerker vloeit niet voort uit de aard van een entiteit die gegevens verwerkt, maar uit haar concrete activiteiten in een specifieke context. Met andere woorden, eenzelfde entiteit kan tegelijkertijd optreden als een verwerkingsverantwoordelijke voor bepaalde verwerkingsactiviteiten en als een verwerker voor andere, en de kwalificatie als verwerkingsverantwoordelijke of verwerker moet worden beoordeeld met betrekking tot de specifieke gegevensgroepen of -verwerkingen. De aard van de dienst bepaalt of de verwerkingsactiviteit neerkomt op een verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke in de zin van de AVG. In de praktijk kan de dienstverlener, wanneer de

verleende dienst niet specifiek gericht is op de verwerking van persoonsgegevens of wanneer die verwerking geen wezenlijk aspect van de dienst vormt, in staat zijn zelfstandig het doel en de middelen te bepalen voor de verwerking die vereist is om de dienst te verlenen. In dat geval moet de dienstverlener worden beschouwd als een afzonderlijke verwerkingsverantwoordelijke en niet als verwerker. 33 Een analyse per geval blijft echter noodzakelijk om na te gaan in welke mate elke entiteit daadwerkelijk invloed heeft op de vaststelling van het doel en de middelen van de verwerking.

Voorbeeld: Taxidienst

Een taxidienst biedt een onlineplatform aan waarmee bedrijven een taxi kunnen boeken om werknemers of gasten van en naar de luchthaven te vervoeren. Bij het boeken van een taxi vermeldt onderneming ABC de naam van de werknemer die van de luchthaven moet worden opgehaald, zodat de bestuurder de identiteit van de werknemer op het moment van ophalen kan bevestigen. In dit geval verwerkt de taxidienst persoonsgegevens van de werknemer in het kader van zijn dienst aan onderneming ABC, maar is de verwerking als zodanig niet het doel van de dienst. De taxidienst heeft het online boekingsplatform ontworpen als onderdeel van de ontwikkeling van zijn eigen bedrijfsactiviteiten om vervoersdiensten aan te bieden, zonder instructies van onderneming ABC. De taxidienst bepaalt ook zelfstandig welke categorieën gegevens hij verzamelt en hoelang hij ze bewaart. De taxidienst treedt op als volwaardige verwerkingsverantwoordelijke, ook al vindt de verwerking plaats na een verzoek om dienstverlening van onderneming ABC.

83. Het EDPB merkt op dat een dienstverlener nog steeds als verwerker kan optreden, ook al is de verwerking van persoonsgegevens niet het voornaamste of eerste doel van de dienst, mits de klant van de dienst in de praktijk nog steeds het doel en de middelen van de verwerking bepaalt. Bij de beoordeling of de verwerking van persoonsgegevens al dan niet aan een bepaalde dienstverlener moet worden toevertrouwd, dienen de verwerkingsverantwoordelijken zorgvuldig te beoordelen of de dienstverlener in kwestie hen in staat stelt een voldoende mate van zeggenschap uit te oefenen, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking en met de potentiële risico's voor de betrokkenen.

Voorbeeld: Callcenter

Onderneming X besteedt zijn klantenondersteuning uit aan onderneming Y, die een callcenter aanbiedt om klanten van onderneming X te helpen met hun vragen. De klantenondersteunende dienst houdt in dat onderneming Y toegang moet hebben tot de databases van onderneming X. Onderneming Y heeft alleen toegang tot gegevens om de steun te verlenen waarvoor onderneming X heeft betaald en zij kan geen gegevens verwerken voor andere doeleinden dan die welke door onderneming X zijn vermeld. Onderneming Y moet worden beschouwd als een verwerker van persoonsgegevens en er moet een verwerkingsovereenkomst worden gesloten tussen onderneming X en Y.

Voorbeeld: Algemene IT-ondersteuning

Onderneming Z huurt een IT-dienstverlener in om algemene ondersteuning te bieden aan haar ITsystemen die een grote hoeveelheid persoonsgegevens bevatten. De toegang tot persoonsgegevens is niet het hoofddoel van de ondersteunende dienst, maar het is onvermijdelijk dat de aanbieder van

de IT-dienst bij het verrichten van de dienst systematisch toegang heeft tot persoonsgegevens. Onderneming Z concludeert derhalve dat de IT-dienstverlener - die een afzonderlijke onderneming is en onvermijdelijk persoonsgegevens moet verwerken hoewel dit niet het hoofddoel van de dienst is - als verwerker moet worden beschouwd. Daarom wordt met de IT-dienstverlener een verwerkingsovereenkomst gesloten.

Voorbeeld: IT-consultant die een softwarebug uit het systeem verwijdert

Onderneming ABC huurt een IT-specialist van een andere onderneming in om een bug te verwijderen uit software die zij gebruikt. De IT-consultant wordt niet ingehuurd voor de verwerking van persoonsgegevens en onderneming ABC bepaalt dat elke toegang tot persoonsgegevens louter bijkomstig zal zijn en derhalve in de praktijk zeer beperkt zal zijn. ABC concludeert derhalve dat de ITspecialist geen verwerker (en ook geen verwerkingsverantwoordelijke op zich) is en dat onderneming ABC overeenkomstig artikel 32 van de AVG passende maatregelen zal nemen om te voorkomen dat de IT-consultant persoonsgegevens op ongeoorloofde wijze verwerkt.

84. Zoals hierboven vermeld, belet niets de verwerker om een voorlopig omschreven dienst aan te bieden, maar moet de verwerkingsverantwoordelijke de definitieve beslissing nemen om de wijze van verwerking actief goed te keuren, althans wat de wezenlijke middelen voor de verwerking betreft. Zoals hierboven vermeld, beschikt een verwerker over enige vrijheid van handelen ten aanzien van wezenlijke middelen (zie onderafdeling 2.1.4 hierboven).

Voorbeeld: Aanbieder van clouddiensten

Een gemeente heeft besloten een beroep te doen op een aanbieder van clouddiensten voor het verwerken van informatie in haar schoolen onderwijsdiensten. De clouddienst biedt berichtendiensten, videoconferenties, opslag van documenten, kalenderbeheer, tekstverwerking enz. aan en omvat de verwerking van persoonsgegevens over schoolkinderen en leerkrachten. De aanbieder van clouddiensten heeft een gestandaardiseerde dienst aangeboden die wereldwijd wordt aangeboden. De gemeente moet er echter voor zorgen dat de bestaande overeenkomst in overeenstemming is met artikel 28, lid 3, van de AVG, en dat de persoonsgegevens waarvan zij de verwerkingsverantwoordelijk is, uitsluitend voor de doeleinden van de gemeente worden verwerkt. Zij moet er ook voor zorgen dat haar specifieke instructies inzake bewaartermijnen, verwijdering van gegevens enz. door de aanbieder van clouddiensten worden nageleefd, ongeacht wat in het algemeen in de gestandaardiseerde dienst wordt aangeboden.

5 DEFINITIE VAN DERDE/ONTVANGER

85. In de verordening worden niet alleen de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' gedefinieerd, maar ook de begrippen 'ontvanger 'en 'derde'. In tegenstelling tot de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' worden in de verordening geen specifieke verplichtingen of verantwoordelijkheden vastgesteld voor ontvangers en derden. Deze begrippen kunnen worden beschouwd als relatieve begrippen in die zin dat zij vanuit een specifiek oogpunt een relatie met een verwerkingsverantwoordelijke of verwerker beschrijven, bijvoorbeeld wanneer een verwerkingsverantwoordelijke of verwerker gegevens aan een ontvanger meedeelt. Een ontvanger van persoonsgegevens en een derde kunnen gelijktijdig vanuit andere oogpunten als verwerkingsverantwoordelijke of verwerker worden beschouwd. Zo zijn entiteiten die vanuit één

oogpunt als ontvangers of derden moeten worden beschouwd, verwerkingsverantwoordelijken voor de verwerking waarvoor zij het doel en de middelen bepalen.

Derde

86. In artikel 4, lid 10, wordt een ' derde ' gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde

•  de betrokkene,
•  de verwerker en
•  de verwerkingsverantwoordelijke,
•  de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

87. De definitie komt in het algemeen overeen met de vorige definitie van ' derde ' in Richtlijn 95/46/EG.
88. Terwijl de begrippen ' persoonsgegevens ', ' betrokkene ', ' verwerkingsverantwoordelijke ' en ' verwerker ' in de verordening worden gedefinieerd, is dit niet het geval voor het begrip 'd e personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn persoonsgegevens te verwerken '. Het begrip wordt echter in het algemeen opgevat als een verwijzing naar personen die behoren tot de juridische entiteit van de verwerkingsverantwoordelijke of de verwerker (een werknemer of een functie die in hoge mate vergelijkbaar is met die van werknemers, bijvoorbeeld uitzendkrachten die via een uitzendbureau ter beschikking worden gesteld), maar alleen voor zover zij gemachtigd zijn persoonsgegevens te verwerken. Een werknemer enz. die toegang verkrijgt tot gegevens die hij niet mag raadplegen en voor andere doeleinden dan die van de werkgever, valt niet onder deze categorie. In plaats daarvan dient deze werknemer ten opzichte van de door de werkgever uitgevoerde verwerking als een derde worden beschouwd. Voor zover de werknemer persoonsgegevens verwerkt voor eigen doeleinden, die losstaan van die van zijn werkgever, wordt hij of zij beschouwd als verwerkingsverantwoordelijke en neemt hij alle daaruit voortvloeiende gevolgen en verplichtingen op zich met betrekking tot de verwerking van persoonsgegevens. 34
89. Een derde verwijst dus naar iemand die in de specifieke situatie in kwestie geen betrokkene, verwerkingsverantwoordelijke, verwerker of werknemer is. De verwerkingsverantwoordelijke kan bijvoorbeeld een verwerker in dienst nemen en hem opdracht geven persoonsgegevens aan een derde over te dragen. Deze derde zal dan als een volwaardige verwerkingsverantwoordelijke worden beschouwd voor de verwerking die hij voor eigen doeleinden verricht. Er zij op gewezen dat binnen een groep ondernemingen een andere onderneming dan de verwerkingsverantwoordelijke of de verwerker een derde is, ook al behoort ze tot dezelfde groep als de onderneming die als verwerkingsverantwoordelijke of verwerker optreedt.

Voorbeeld: Schoonmaakdiensten

Onderneming A sluit een overeenkomst met een schoonmaakbedrijf om haar kantoren te reinigen. De schoonmakers worden geacht geen toegang te hebben tot persoonsgegevens of deze anderszins te verwerken. Hoewel zij soms occasioneel met dergelijke gegevens kunnen worden geconfronteerd wanneer zij zich in het kantoor bewegen, kunnen zij hun taak uitvoeren zonder toegang tot gegevens

34 De werkgever (als oorspronkelijke verwerkingsverantwoordelijke) zou niettemin enige verantwoordelijkheid kunnen behouden indien de nieuwe verwerking plaatsvindt wegens een gebrek aan adequate beveiligingsmaatregelen.

en is het hun contractueel verboden om persoonsgegevens die onderneming A als verwerkingsverantwoordelijke bewaart, in te zien of anderszins te verwerken. De schoonmakers zijn niet in dienst van onderneming A en ze worden evenmin beschouwd rechtstreeks onder het gezag van die onderneming te staan. Er bestaat geen intentie om het schoonmaakbedrijf of zijn werknemers aan te stellen om persoonsgegevens namens onderneming A verwerken. Het schoonmaakbedrijf en zijn werknemers dienen daarom als een derde te worden beschouwd en de verwerkingsverantwoordelijke moet ervoor zorgen dat er passende beveiligingsmaatregelen zijn om te voorkomen dat zij toegang hebben tot gegevens, en een geheimhoudingsplicht opleggen indien zij per ongeluk met persoonsgegevens geconfronteerd worden.

Voorbeeld: Ondernemingsgroepen - moeder- en dochterondernemingen

De ondernemingen X en Y maken deel uit van de groep Z. Ondernemingen X en Y verwerken allebei gegevens over hun respectieve werknemers ten behoeve van het personeelsbeer. Op een bepaald moment besluit de moederonderneming ZZ om personeelsgegevens van alle dochterondernemingen op te vragen om statistieken voor de hele groep te kunnen opstellen. Bij de doorgifte van gegevens van de vennootschappen X en Y aan ZZ moet ZZ als een derde worden beschouwd, ongeacht het feit dat alle vennootschappen deel uitmaken van dezelfde groep. Onderneming ZZ zal worden beschouwd als verantwoordelijke voor de verwerking van de gegevens voor statistische doeleinden.

Ontvanger

90. In artikel 4, lid 9 wordt 'ontvanger' gedefinieerd als 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde'. Overheidsinstanties mogen echter niet als ontvangers worden beschouwd wanneer zij persoonsgegevens ontvangen in het kader van een specifiek onderzoek overeenkomstig het Unierecht of het lidstatelijke recht (bv. belasting- en douaneautoriteiten, financiële onderzoeksdiensten enz.) 35
91. De definitie komt in het algemeen overeen met de vorige definitie van 'ontvanger' in Richtlijn 95/46/EG.
92. De definitie heeft betrekking op eenieder die persoonsgegevens ontvangt, ongeacht of het om een derde gaat of niet. Wanneer bijvoorbeeld een verwerkingsverantwoordelijke persoonsgegevens doorzendt aan een andere entiteit, hetzij een verwerker, hetzij een derde, is deze entiteit een ontvanger. Een derde ontvanger wordt voor elke verwerking die hij voor zijn eigen doel (en) na ontvangst van de gegevens verricht, als verwerkingsverantwoordelijke beschouwd.

Voorbeeld: Verstrekken van gegevens tussen ondernemingen

Het reisbureau ExploreMore organiseert reizen op verzoek van zijn individuele klanten. In het kader van deze dienst sturen zij de persoonsgegevens van de klanten naar luchtvaartmaatschappijen, hotels en organisatoren van excursies, zodat zij hun respectieve diensten kunnen uitvoeren. ExploreMore, de hotels, de luchtvaartmaatschappijen en de aanbieders van excursies moeten elk worden beschouwd als verwerkingsverantwoordelijken voor de verwerking die zij in het kader van hun respectieve diensten uitvoeren. Er is geen relatie tussen de verantwoordelijke en de verwerker. De

35 Zie ook overweging 31 van de AVG

luchtvaartmaatschappijen, hotels en aanbieders van excursies moeten echter als ontvangers worden beschouwd wanneer zij de persoonsgegevens van ExploreMore ontvangen.

DEEL II - GEVOLGEN VAN DE TOEWIJZING VAN VERSCHILLENDE ROLLEN

1 RELATIE TUSSEN VERWERKINGSVERANTWOORDELIJKE EN VERWERKER

93. Een duidelijk nieuw kenmerk in de AVG zijn de bepalingen die de verwerkers rechtstreeks verplichtingen opleggen. Een verwerker moet er bijvoorbeeld voor zorgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen (artikel 28, lid 3); een verwerker moet een register bijhouden van alle categorieën verwerkingsactiviteiten (artikel 30, lid 2) en passende technische en organisatorische maatregelen (artikel 32) treffen. Een verwerker moet onder bepaalde voorwaarden ook een functionaris voor gegevensbescherming aanwijzen (artikel 37) en heeft de plicht de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens (artikel 33, lid 2). Voorts zijn de regels inzake de doorgifte van gegevens naar derde landen (hoofdstuk V) van toepassing op zowel verwerkers als verwerkingsverantwoordelijken. In dit verband is het EDPB van mening dat artikel 28, lid 3, van de AVG weliswaar voorziet in een specifieke inhoud voor de noodzakelijke overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker, maar tegelijkertijd de verwerkers directe verplichtingen oplegt, met inbegrip van de verplichting om de verwerkingsverantwoordelijke bij te staan bij het waarborgen van de naleving. 36

1.1 Keuze van de verwerker

94. De verwerkingsverantwoordelijke heeft de plicht ' uitsluitend een beroep [te doen] op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden ', zodat de verwerking voldoet aan de vereisten van de AVG ook voor de beveiliging van de verwerking - en de bescherming van de rechten van de betrokkenen wordt gewaarborgd. 37 De verwerkingsverantwoordelijke is derhalve verantwoordelijk voor het beoordelen van de toereikendheid van de door de verwerker geboden garanties en dient aan te kunnen tonen dat hij alle in de AVG vermelde elementen ernstig in overweging heeft genomen.
95. De door de verwerker 'geboden' garanties zijn die welke de verwerker ten genoegen van de verwerkingsverantwoordelijke kan aantonen , aangezien deze de enige zijn waarmee de verwerkingsverantwoordelijke daadwerkelijk rekening kan houden bij de beoordeling van de naleving van zijn verplichtingen. Dit vereist vaak de uitwisseling van ter zake dienende documentatie (bv. privacybeleid, dienstverleningsvoorwaarden, register van de verwerkingsactiviteiten, beleid inzake

36 Zo dient de verwerker, indien nodig en op verzoek, de verwerkingsverantwoordelijke bij te staan om ervoor te zorgen dat de verplichtingen in verband met gegevensbeschermingseffectbeoordelingen worden nagekomen (overweging 95 van de AVG). Dit moet tot uiting komen in de overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker overeenkomstig artikel 28, lid 3, onder f), van de AVG.

37 Artikel 28, lid 1 en Overweging 81 van de AVG.

• gegevensbeheer, informatieveiligheidsbeleid, verslagen van externe gegevensbeschermingsaudits, erkende internationale certificeringen, zoals de ISO 27000-serie).

96. De beoordeling door de verwerkingsverantwoordelijke van de vraag of de garanties toereikend zijn, is een vorm van risicobeoordeling, die in hoge mate zal afhangen van het soort verwerking dat aan de verwerker is toevertrouwd en dat per geval moet worden uitgevoerd, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsook met de risico's voor de rechten en vrijheden van natuurlijke personen. Bijgevolg kan het EDPB geen uitputtende lijst verstrekken van de documenten of acties die de verwerker in een bepaald scenario moet tonen of aantonen, aangezien dit grotendeels afhangt van de specifieke omstandigheden van de verwerking.
97. De verwerkingsverantwoordelijke dient rekening te houden met de volgende elementen 38 om te beoordelen of de garanties toereikend zijn: de deskundigheid van de verwerker (bv. technische expertise op het gebied van veiligheidsmaatregelen en inbreuken op de gegevens); de betrouwbaarheid van de verwerker; de middelen van de verwerker. De reputatie van de verwerker op de markt kan voor de verwerkingsverantwoordelijken ook een betekenisvolle factor zijn om in overweging te nemen.
98. Bovendien kan het feit dat de verwerker zich heeft aangesloten bij een goedgekeurde gedragscode of bij een goedgekeurd certificeringsmechanisme worden gebruikt als een element waarmee voldoende garanties kunnen worden aangetoond. 39 De verwerkers wordt derhalve aangeraden de verwerkingsverantwoordelijke in kennis te stellen van deze omstandigheid en van eventuele wijzigingen van die naleving.
99. De verplichting om uitsluitend een beroep te doen op verwerkers 'die toereikende garanties bieden' als bedoeld in artikel 28, lid 1, van de AVG, is een doorlopende verplichting. Ze eindigt niet op het moment waarop de verwerkingsverantwoordelijke en de verwerker een overeenkomst of een andere rechtshandeling sluiten. Veeleer dient de verwerkingsverantwoordelijke met passende tussenpozen de garanties van de verwerker te verifiëren, onder meer door middel van audits en inspecties, waar passend. 40

1.2 Vorm van de overeenkomst of andere rechtshandeling

100. Elke verwerking van persoonsgegevens door een verwerker moet worden geregeld in een overeenkomst of een andere rechtshandeling krachtens het Unierecht of lidstatelijke recht tussen de verwerkingsverantwoordelijke en de verwerker, zoals voorgeschreven in artikel 28, lid 3, van de AVG.
101. Die rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm , opgesteld. 41 Daarom kunnen niet-schriftelijke overeenkomsten (ongeacht hoe grondig of doeltreffend deze zijn) niet worden geacht te voldoen aan de in artikel 28 van de AVG vastgestelde vereisten. Om problemen te voorkomen bij het aantonen dat de overeenkomst of een andere rechtshandeling daadwerkelijk van kracht is, beveelt het EDPB aan ervoor te zorgen dat de nodige handtekeningen in de rechtshandeling worden opgenomen, in overeenstemming met het toepasselijke recht (bv. contractenrecht).
102. Bovendien moet de overeenkomst of de andere rechtshandeling uit hoofde van het Unierecht of het lidstatelijke recht bindend zijn voor de verwerker ten aanzien van de verwerkingsverantwoordelijke, d.w.z. dat in de overeenkomst verplichtingen voor de verwerker moeten worden vastgesteld die

38 Overweging 81 van de AVG.

39 Artikel 28, lid 5, en overweging 81 van de AVG.

41 Artikel 28, lid 9, van de AVG.

bindend zijn op grond van het Unierecht of het lidstatelijke recht. Ook moeten de verplichtingen van de verwerkingsverantwoordelijke erin worden vastgelegd. In de meeste gevallen zal er sprake zijn van een overeenkomst, maar in de verordening wordt ook verwezen naar een 'andere rechtshandeling', zoals een nationale wet (primair of secundair) of een ander rechtsinstrument. Indien de rechtshandeling niet alle minimaal vereiste inhoud bevat, moet ze worden aangevuld met een overeenkomst of een andere rechtshandeling die de ontbrekende elementen bevat.

103. Aangezien de verordening voorziet in een duidelijke verplichting om een schriftelijke overeenkomst te sluiten wanneer er geen andere toepasselijke rechtshandeling van kracht is, is het ontbreken daarvan een inbreuk op de AVG. 42 Zowel de verwerkingsverantwoordelijke als de verwerker hebben de verantwoordelijkheid ervoor te zorgen dat er een overeenkomst of een andere rechtshandeling voorhanden is die de verwerking regelt. 43 Met inachtneming van de bepalingen van artikel 83 van de AVG kan de bevoegde toezichthoudende autoriteit een administratieve boete opleggen aan zowel de verwerkingsverantwoordelijke als de verwerker, rekening houdend met de omstandigheden van elk individueel geval. Overeenkomsten die zijn gesloten vóór de datum van toepassing van de AVG hadden dienden te worden bijgewerkt in het licht van artikel 28, lid 3. Wanneer een dergelijke bijwerking om een eerder bestaande overeenkomst in overeenstemming te brengen met de vereisten van de AVG ontbreekt, dan vormt dit een inbreuk op artikel 28, lid 3.

Een schriftelijke overeenkomst overeenkomstig artikel 28, lid 3, van de AVG kan worden opgenomen in een bredere overeenkomst, zoals een overeenkomst inzake dienstverleningsniveau. Om gemakkelijker aan te tonen dat de AVG wordt nageleefd, beveelt het EDPB aan dat de elementen van de overeenkomst die erop gericht zijn artikel 28 van de AVG uit te voeren, duidelijk als zodanig worden geïdentificeerd op één plaats (bijvoorbeeld in een bijlage).

104. Om aan de verplichting tot het sluiten van een overeenkomst te voldoen, kunnen de verwerkingsverantwoordelijke en de verwerker ervoor kiezen over hun eigen overeenkomst te onderhandelen , met inbegrip van alle verplichte elementen, of zich geheel of ten dele te baseren op standaardcontractbepalingen met betrekking tot de verplichtingen uit hoofde van artikel 28 . 44

42 De aanwezigheid (of het ontbreken) van een schriftelijke overeenkomst is echter niet doorslaggevend voor het bestaan van een relatie tussen de verantwoordelijke en de verwerker. Wanneer er reden is om aan te nemen dat de overeenkomst niet overeenstemt met de werkelijkheid in termen van daadwerkelijke zeggenschap, op basis van een feitelijke analyse van de omstandigheden van de betrekkingen tussen de partijen en de verwerking van persoonsgegevens die wordt uitgevoerd, kan de overeenkomst buiten toepassing worden gelaten. Omgekeerd kan worden aangenomen dat er nog steeds sprake is van een relatie tussen de verantwoordelijke en de verwerker bij gebreke van een schriftelijke verwerkingsovereenkomst. Dit zou echter neerkomen op een schending van artikel 28, lid 3, van de AVG. Bovendien kan het ontbreken van een duidelijke definitie van de relatie tussen de verwerkingsverantwoordelijke en de verwerker in bepaalde omstandigheden het probleem doen rijzen van het ontbreken van een rechtsgrondslag waarop elke verwerking dient te worden gebaseerd, bijvoorbeeld met betrekking tot de mededeling van gegevens tussen de verwerkingsverantwoordelijke en de vermeende verwerker.

44 Artikel 28, lid 6, van de AVG. Het EDPB herinnert eraan dat de standaardcontractbepalingen met het oog op de naleving van artikel 28 van de AVG niet dezelfde zijn als de standaardcontractbepalingen bedoeld in artikel 46, lid 2. Terwijl in het eerste artikel nader wordt bepaald en verduidelijkt hoe aan de bepalingen van artikel 28, lid 3 en lid 4 wordt voldaan, biedt het tweede artikel passende waarborgen voor de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3.

105. Een reeks standaardcontractbepalingen kan bij wijze van alternatief door de Commissie 45 of door een toezichthoudende autoriteit worden vastgesteld, in overeenstemming met het coherentiemechanisme. 46 Deze bepalingen kunnen deel uitmaken van een certificering die overeenkomstig artikel 42 of 43 aan de verwerkingsverantwoordelijke of de verwerker wordt verleend. 47
106. Het EDPB wenst te verduidelijken dat er voor verwerkingsverantwoordelijken en verwerkers geen verplichting bestaat om een contract te sluiten op basis van standaardcontractbepalingen, noch dat dit noodzakelijkerwijs de voorkeur verdient boven onderhandelingen over een individueel contract. Beide opties kunnen worden verwezenlijkt met het oog op de naleving van de gegevensbeschermingswetgeving, afhankelijk van de specifieke omstandigheden, mits zij voldoen aan de vereisten van artikel 28, lid 3.
107. Indien de partijen gebruik wensen te maken van standaardcontractbepalingen, moeten de gegevensbeschermingsbepalingen van hun overeenkomst dezelfde zijn als die van de standaardcontractbepalingen. In de standaardcontractbepalingen zullen vaak bepaalde in te vullen lege ruimten worden gelaten of door de partijen te kiezen opties. Zoals ook eerder vermeld, zullen de standaardcontractbepalingen over het algemeen worden opgenomen in een grotere overeenkomst waarin het voorwerp van het contract, de financiële voorwaarden ervan en andere overeengekomen clausules worden beschreven. De partijen kunnen aanvullende clausules toevoegen (bv. toepasselijk recht en rechtsgebied), mits deze niet direct of indirect in strijd zijn met de standaardcontractbepalingen 48 en geen afbreuk doen aan de bescherming die wordt geboden door de AVG en de wetgeving van de EU of de lidstaten inzake gegevensbescherming.
108. Overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers kunnen soms eenzijdig door een van de partijen worden opgesteld. Welke partij (of partijen) het contract opstelt (opstellen), kan afhangen van verschillende factoren, waaronder: de positie van de partijen op de markt en hun contractuele macht, hun technische deskundigheid en toegang tot juridische diensten. Sommige dienstverleners zijn bijvoorbeeld geneigd standaardvoorwaarden vast te stellen die overeenkomsten inzake gegevensverwerking bevatten.

47 Artikel 28, lid 6, van de AVG.

48 Het EDPB herinnert eraan dat dezelfde mate van flexibiliteit is toegestaan wanneer de partijen ervoor kiezen standaardcontractbepalingen te gebruiken als passende waarborg voor doorgiften aan derde landen overeenkomstig artikel 46, lid 2, onder c), of artikel 46, lid 2, onder d), AVG. In overweging 109 van de AVG wordt het volgende verduidelijkt: ' Dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de standaardbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of geen andere bepalingen of extra waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de [...] standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkene n. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming'.

109. Een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker moet voldoen aan de vereisten van artikel 28 van de AVG om ervoor te zorgen dat de verwerker persoonsgegevens verwerkt in overeenstemming met de AVG. In een dergelijke overeenkomst dient rekening te worden gehouden met de specifieke verantwoordelijkheden van verwerkingsverantwoordelijken en verwerkers. Hoewel artikel 28 een lijst bevat van punten die in elke overeenkomst betreffende de relatie tussen verwerkingsverantwoordelijken en verwerkers moeten worden behandeld, laat het ruimte voor onderhandelingen tussen de partijen bij dergelijke overeenkomsten. In sommige situaties kan een verwerkingsverantwoordelijke of een verwerker in een zwakkere onderhandelingspositie verkeren om de gegevensbeschermingsovereenkomst aan te passen. Wanneer men een beroep doet op de overeenkomstig artikel 28 (de leden 7 en 8) vastgestelde standaardcontractbepalingen kan dit ertoe bijdragen dat de onderhandelingsposities opnieuw in evenwicht worden gebracht en dat wordt verzekerd dat de overeenkomsten in overeenstemming zijn met de AVG.
110. Het feit dat de overeenkomst en de gedetailleerde voorwaarden ervan worden opgesteld door de dienstverlener en niet door de verwerkingsverantwoordelijke, is op zich geen probleem en vormt op zich geen voldoende grond om te concluderen dat de dienstverlener als verwerkingsverantwoordelijke dient te worden beschouwd. Ook dient het gebrek aan evenwicht in de contractuele slagkracht van een kleine verwerkingsverantwoordelijke ten opzichte van grote dienstverleners niet te worden beschouwd als een rechtvaardiging voor de verwerkingsverantwoordelijke om clausules en contractvoorwaarden te aanvaarden die niet in overeenstemming zijn met de wetgeving inzake gegevensbescherming, noch om de verwerkingsverantwoordelijke van zijn gegevensbeschermingsverplichtingen te ontheffen. De verwerkingsverantwoordelijke moet de voorwaarden beoordelen en, voor zover hij deze vrijelijk aanvaardt en van de dienst gebruik maakt, de volledige verantwoordelijkheid voor de naleving van de AVG aanvaarden. Elke voorgestelde wijziging door een verwerker van in standaardvoorwaarden opgenomen gegevensverwerkingsovereenkomsten dient rechtstreeks ter kennis van de verwerkingsverantwoordelijke te worden gebracht en door hem te worden goedgekeurd, rekening houdend met de speelruimte waarover de verwerker beschikt met betrekking tot niet-wezenlijke aspecten van de middelen (zie de punten 40-41 hierboven). De loutere bekendmaking van deze wijzigingen op de website van de verwerker is niet in overeenstemming met artikel 28.

1.3 Inhoud van de overeenkomst of andere rechtshandeling

111. Alvorens dieper in te gaan op elk van de gedetailleerde vereisten van de AVG met betrekking tot de inhoud van de overeenkomst of andere rechtshandeling, zijn enkele algemene opmerkingen nodig.
112. Hoewel de in artikel 28 van de verordening vastgestelde elementen de kern vormen, dient de overeenkomst voor de verwerkingsverantwoordelijke en de verwerker een manier te zijn om nader te verduidelijken hoe dergelijke kernelementen met gedetailleerde instructies zullen worden uitgevoerd. Daarom dient de verwerkingsovereenkomst niet gewoon de bepalingen van de AVG te herhalen : ze dient veeleer specifiekere en concretere informatie te bevatten over de wijze waarop aan de vereisten zal worden voldaan en welk beveiligingsniveau vereist is voor de verwerking van persoonsgegevens waarop de verwerkingsovereenkomst betrekking heeft. De onderhandelingen over de overeenkomst en de opstelling ervan zijn geenszins een pro-forma-oefening maar bieden de mogelijkheid om bijzonderheden over de verwerking te specificeren. 49 Immers, 'voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van

verwerkingsverantwoordelijken en verwerkers is het noodzakelijk, [...] dat de [....] verantwoordelijkheden op duidelijke wijze worden toegewezen' in het kader van de AVG. 50

113. Tegelijkertijd dient in de overeenkomst rekening te worden gehouden met 'de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van de betrokkene' . 51 In het algemeen dient de overeenkomst tussen de partijen te worden opgesteld in het licht van de specifieke gegevensverwerkingsactiviteit. Zo is het niet nodig een bijzonder strenge bescherming en procedures op te leggen aan een verwerker die belast is met een verwerkingsactiviteit die slechts geringe risico's met zich meebrengt: hoewel elke verwerker aan de voorschriften van de verordening moet voldoen, dienen de maatregelen en procedures op de specifieke situatie te worden afgestemd. In ieder geval moeten alle elementen van artikel 28, lid 3, onder de overeenkomst vallen. Tegelijkertijd dient de overeenkomst een aantal elementen te bevatten die de verwerker kunnen helpen inzicht te krijgen in de risico's die de verwerking met zich meebrengt voor de rechten en vrijheden van betrokkenen: omdat de activiteit namens de verwerkingsverantwoordelijke wordt verricht, heeft de verwerkingsverantwoordelijke vaak een beter inzicht in de risico's die de verwerking met zich meebrengt, aangezien de verwerkingsverantwoordelijke op de hoogte is van de omstandigheden waarin de verwerking is ingebed.
114. Wat de vereiste inhoud van de overeenkomst of andere rechtshandeling betreft, interpreteert het EDPB artikel 28, lid 3, op zodanige wijze dat het volgende erin moet worden opgenomen:
115.  het onderwerp van de verwerking (bijvoorbeeld videobewakingsopnames van personen die een hoogbeveiligde faciliteit binnenkomen of verlaten). Hoewel het onderwerp van de verwerking een ruim begrip is, moet het met voldoende specificaties worden geformuleerd, zodat duidelijk is wat het belangrijkste onderwerp van de verwerking is;
116.  de duur 52 van de verwerking: de exacte periode of de criteria die worden gebruikt om deze te bepalen, dient te worden gespecificeerd; er kan bijvoorbeeld worden verwezen naar de duur van de verwerkingsovereenkomst;
117.  de aard van de verwerking: het soort handelingen dat in het kader van de verwerking wordt verricht (bijvoorbeeld: 'filmen', 'opnemen', 'archiveren van beelden'...) en het doeleinde van de verwerking (bijvoorbeeld: het opsporen van onrechtmatige toegang). Deze beschrijving dient zo volledig mogelijk te zijn, afhankelijk van de specifieke verwerkingsactiviteit, zodat externe partijen (bv. toezichthoudende autoriteiten) de inhoud en de risico's van de aan de verwerker toevertrouwde verwerking kunnen begrijpen.
118.  het soort persoonsgegevens : dit dient zo gedetailleerd mogelijk te worden gespecificeerd (bijvoorbeeld: videobeelden van personen die de faciliteit binnenkomen en verlaten). Het zou niet volstaan alleen te preciseren dat het gaat om 'persoonsgegevens in de zin van artikel 4, lid 1, AVG' of 'bijzondere categorieën persoonsgegevens overeenkomstig artikel 9'. In het geval van bijzondere categorieën gegevens dient in de overeenkomst of de rechtshandeling ten minste te worden gespecificeerd om welke soorten gegevens het gaat, bijvoorbeeld 'informatie over gezondheidsdossiers' of 'informatie over de vraag of de betrokkene lid is van een vakbond';

50 Overweging 79 van de AVG.

52 De duur van de verwerking is niet noodzakelijk gelijk aan de duur van de overeenkomst (er kunnen wettelijke verplichtingen bestaan om de gegevens langer of korter te bewaren).

51 Overweging 81 van de AVG.

•  de categorieën van betrokkenen : ook dit dient op een zeer specifieke manier te worden aangegeven (bijvoorbeeld: 'bezoekers', 'werknemers', besteldiensten enz.);
•  de verplichtingen en rechten van de verwerkingsverantwoordelijke : de rechten van de verwerkingsverantwoordelijke worden verder behandeld in de volgende punten (bv. met betrekking tot het recht van de verwerkingsverantwoordelijke om inspecties en audits uit te voeren). Wat de verplichtingen van de verwerkingsverantwoordelijke betreft, zijn voorbeelden hiervan de verplichting van de verwerkingsverantwoordelijke om de verwerker de in de overeenkomst vermelde gegevens te verstrekken, instructies te verstrekken en schriftelijk vast te leggen die betrekking hebben op de verwerking van gegevens door de verwerker, ervoor te zorgen dat vóór en tijdens de verwerking wordt voldaan aan de verplichtingen van de verwerker in de AVG, toezicht te houden op de verwerking, onder meer door bij de verwerker audits en inspecties uit te voeren.

115. Hoewel de AVG elementen bevat die altijd in de overeenkomst moeten worden opgenomen, kan het nodig zijn andere relevante informatie op te nemen, afhankelijk van de context en de risico's van de verwerking en eventuele aanvullende toepasselijke vereisten.

1.3.1 De verwerker verwerkt de gegevens uitsluitend op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke (artikel 28, lid 3, onder a), van de AVG)

116. De noodzaak om deze verplichting te specificeren vloeit voort uit het feit dat de verwerker gegevens verwerkt namens de verwerkingsverantwoordelijke. Verwerkingsverantwoordelijken moeten hun verwerkers instructies verstrekken met betrekking tot elke verwerkingsactiviteit. Dergelijke instructies kunnen betrekking hebben op de toegestane en onaanvaardbare verwerking van persoonsgegevens, meer gedetailleerde procedures, manieren om gegevens te beveiligen, enz. De verwerker mag niet verder gaan dan de door de verwerkingsverantwoordelijke gegeven instructies. Het is echter mogelijk voor de verwerker om elementen voor te stellen die, indien zij door de verwerkingsverantwoordelijke worden aanvaard, deel gaan uitmaken van de gegeven instructies.
117. Wanneer een verwerker gegevens verwerkt buiten de instructies van de verwerkingsverantwoordelijke of die verder gaan dan de instructies en dit neerkomt op een besluit tot bepaling van het doel en de middelen van de verwerking, zal het optreden van de verwerker in strijd zijn met zijn verplichtingen en zal hij zelfs met betrekking tot die verwerking worden beschouwd als een verwerkingsverantwoordelijke overeenkomstig artikel 28, lid 10 (zie onderafdeling 1.5 hieronder 53 ).
118. De door de verwerkingsverantwoordelijke gegeven instructies moeten schriftelijk zijn opgesteld . Daartoe wordt aanbevolen een procedure en een modelformulier op te nemen voor het geven van verdere instructies in een bijlage bij de overeenkomst of andere rechtshandeling. De instructies kunnen ook schriftelijk worden verstrekt (bv. e-mail), alsook in elke andere vastgelegde vorm, zolang het mogelijk is overzichten van dergelijke instructies te bewaren. Om problemen te vermijden om aan te tonen dat de instructies van de verwerkingsverantwoordelijke naar behoren zijn vastgelegd, beveelt het EDPB aan dergelijke instructies samen te bewaren met de overeenkomst of andere rechtshandeling.
119. De verplichting voor de verwerker om zich te onthouden van verwerkingsactiviteiten die niet op instructies van de verwerkingsverantwoordelijke zijn gebaseerd, geldt ook voor de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie. In de overeenkomst dienen

• de vereisten voor doorgifte aan derde landen of internationale organisaties te worden gespecificeerd, rekening houdend met de bepalingen van hoofdstuk V van de AVG.

120. Het EDPB beveelt aan dat de verwerkingsverantwoordelijke naar behoren aandacht besteedt aan dit specifieke punt, met name wanneer de verwerker bepaalde verwerkingsactiviteiten zal delegeren aan andere verwerkers en wanneer de verwerker beschikt over afdelingen of eenheden in derde landen. Indien de instructies van de verwerkingsverantwoordelijke geen doorgifte of mededeling aan derde landen toestaan, mag de verwerker de verwerking niet overdragen aan een subverwerker in een derde land, noch mag hij de gegevens laten verwerken in een van zijn afdelingen buiten de EU.
121. Een verwerker mag gegevens verwerken buiten het kader van de schriftelijke instructies van de verwerkingsverantwoordelijke wanneer de verwerker verplicht is persoonsgegevens te verwerken en/of door te geven op grond van de EU-wetgeving of de nationale wetgeving waaraan de verwerker onderworpen is. Uit deze bepaling blijkt voorts het belang van het zorgvuldig onderhandelen over en het opstellen van overeenkomsten inzake gegevensverwerking, aangezien het bijvoorbeeld mogelijk is dat één van beide partijen juridisch advies moet inwinnen over het bestaan van een dergelijke wettelijke verplichting. Dit moet tijdig gebeuren, aangezien de verwerker verplicht is de verwerkingsverantwoordelijke in kennis te stellen van dit vereiste alvorens met de verwerking te beginnen. Alleen wanneer dezelfde (Unierechtelijke of lidstaatrechtelijke) wetgeving de verwerker verbiedt de verwerkingsverantwoordelijke in kennis te stellen op grond van 'gewichtige redenen van algemeen belang', is een dergelijke informatieverplichting niet van toepassing. In elk geval mag een doorgifte of openbaarmaking alleen plaatsvinden als dit is toegestaan op grond van het Unierecht, onder meer in overeenstemming met artikel 48 van de AVG.

1.3.2 De verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden (art. 28, lid 3, onder b) van de AVG)

122. In de overeenkomst moet worden bepaald dat de verwerker ervoor moet zorgen dat iedereen die de persoonsgegevens mag verwerken, zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen. Dit kan gebeuren hetzij via een specifieke contractuele overeenkomst, hetzij op grond van reeds bestaande wettelijke verplichtingen.
123. Het ruime begrip 'de tot het verwerken van de persoonsgegevens gemachtigde personen' omvat werknemers en uitzendkrachten. In het algemeen dient de verwerker de persoonsgegevens alleen beschikbaar te stellen aan de werknemers die ze daadwerkelijk nodig hebben om taken uit te voeren waarvoor de verwerker door de verwerkingsverantwoordelijke in dienst is genomen.
124. De vertrouwelijkheidsverbintenis of -verplichting moet 'passend' zijn, d.w.z. dat de gemachtigde persoon daadwerkelijk wordt verboden vertrouwelijke informatie zonder toestemming openbaar te maken, en moet voldoende ruim zijn om alle persoonsgegevens te omvatten die namens de verwerkingsverantwoordelijke worden verwerkt, alsmede de voorwaarden waaronder de persoonsgegevens worden verwerkt.

1.3.3 De verwerker neemt alle overeenkomstig artikel 32 vereiste maatregelen (art. 28, lid 3, onder c) van de AVG)

125. In artikel 32 worden de verwerkingsverantwoordelijke en de verwerker de verplichting opgelegd passende technische en organisatorische beveiligingsmaatregelen te treffen. Hoewel deze verplichting al rechtstreeks wordt opgelegd aan de verwerker wiens verwerkingsactiviteiten binnen het

toepassingsgebied van de AVG vallen, moet de verplichting om alle krachtens artikel 32 vereiste maatregelen te nemen nog steeds tot uiting komen in de overeenkomst betreffende de door de verwerkingsverantwoordelijke toevertrouwde verwerkingsactiviteiten.

126. Zoals eerder aangegeven, dient de verwerkingsovereenkomst niet gewoon de bepalingen van de AVG te herhalen. In de overeenkomst moet informatie of verwijzingen daarnaar zijn opgenomen over de te nemen beveiligingsmaatregelen, een verplichting voor de verwerker om de goedkeuring van de verwerkingsverantwoordelijke te verkrijgen alvorens wijzigingen aan te brengen , en een regelmatige herziening van de beveiligingsmaatregelen om na te gaan of zij geschikt zijn voor risico's die zich in de loop van de tijd kunnen ontwikkelen. De mate van gedetailleerdheid van de informatie over de beveiligingsmaatregelen die in de overeenkomst moeten worden opgenomen, moet de verwerkingsverantwoordelijke in staat stellen de geschiktheid van de maatregelen overeenkomstig artikel 32, lid 1, van AVG te beoordelen. Bovendien is de beschrijving ook noodzakelijk om de verwerkingsverantwoordelijke in staat te stellen te voldoen aan zijn verantwoordingsplicht uit hoofde van artikel 5, lid 2, en artikel 24 van de AVG met betrekking tot de aan de verwerker opgelegde beveiligingsmaatregelen. Een overeenkomstige verplichting van de verwerker om de verwerkingsverantwoordelijke bij te staan en alle informatie beschikbaar te stellen die nodig is om de naleving aan te tonen, kan worden afgeleid uit artikel 28, lid 3, onder f) en h), van de AVG.
127. Het niveau van de instructies die door de verwerkingsverantwoordelijke aan de verwerker worden verstrekt met betrekking tot de uit te voeren maatregelen, hangt af van de specifieke omstandigheden. In sommige gevallen kan de verwerkingsverantwoordelijke een duidelijke en gedetailleerde beschrijving geven van de uit te voeren beveiligingsmaatregelen. In andere gevallen kan de verwerkingsverantwoordelijke de minimaal te bereiken beveiligingsdoelstellingen beschrijven en de verwerker verzoeken de uitvoering van specifieke beveiligingsmaatregelen voor te stellen. In ieder geval moet de verwerkingsverantwoordelijke de verwerker een beschrijving verstrekken van de verwerkingsactiviteiten en beveiligingsdoelstellingen (op basis van de risicobeoordeling van de verwerkingsverantwoordelijke) en de door de verwerker voorgestelde maatregelen goedkeuren. Dit kan in een bijlage bij de overeenkomst worden opgenomen. De verwerkingsverantwoordelijke oefent zijn beslissingsbevoegdheid uit over de belangrijkste kenmerken van de beveiligingsmaatregelen, hetzij door de maatregelen expliciet op te nemen, hetzij door de door de verwerker voorgestelde maatregelen goed te keuren.

1.3.4 De verwerker voldoet aan de voorwaarden van artikel 28, lid 2, en artikel 28, lid 4 om een andere verwerker in dienst te nemen (artikel 28, lid 3, onder d) van de AVG).

128. In de overeenkomst moet worden gespecificeerd dat de verwerker geen andere verwerker mag aanstellen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke en of deze toestemming specifiek of algemeen zal zijn. In geval van een algemene toestemming moet de verwerker de verwerkingsverantwoordelijke in kennis stellen van een wijziging van subverwerker op grond van een schriftelijke machtiging en de verwerkingsverantwoordelijke in de gelegenheid stellen bezwaar te maken. Aanbevolen wordt in het contract de procedure hiervoor vast te leggen. Er zij op gewezen dat de verplichting van de verwerker om de verwerkingsverantwoordelijke in kennis te stellen van een wijziging van subverwerker inhoudt dat de verwerker dergelijke wijzigingen actief aan de verwerkingsverantwoordelijke meldt of markeert. 54 Indien specifieke toestemming vereist is, dient in

54 In dit opzicht is het bijvoorbeeld niet voldoende dat de verwerker de verwerkingsverantwoordelijke gewoon algemene toegang verleent tot een lijst van de subverwerkers die van tijd tot tijd kan worden bijgewerkt, zonder naar elke nieuwe subverwerker te verwijzen. Met andere woorden, de verwerker moet de

• de overeenkomst ook de procedure voor het verkrijgen van een dergelijke toestemming te worden vastgelegd.

129. Wanneer de verwerker een andere verwerker in dienst neemt, moet tussen hen een overeenkomst worden gesloten waarin dezelfde verplichtingen inzake gegevensbescherming worden opgelegd als die welke aan de oorspronkelijke verwerker worden opgelegd, of moeten deze verplichtingen worden opgelegd door een andere rechtshandeling uit hoofde van het Unierecht of het lidstatelijke recht (zie ook punt hieronder 160). Hiertoe behoort de verplichting op grond van artikel 28, lid 3, onder h), om audits door de controleur of een andere door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen. 55 De verwerker is jegens de verwerkingsverantwoordelijke aansprakelijk voor de naleving door de andere verwerkers van de gegevensbeschermingsverplichtingen (zie onderafdeling 1.6 voor nadere bijzonderheden over de aanbevolen inhoud van de overeenkomst). 56

1.3.5 De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het vervullen van zijn diens plicht om verzoeken om uitoefening van de rechten van de betrokkene te beantwoorden (artikel 28, lid 3, onder e), van de AVG).

130. De verwerkingsverantwoordelijke moet ervoor zorgen dat verzoeken van betrokkenen worden behandeld, maar in de overeenkomst moet worden bepaald dat de verwerker verplicht is bijstand te verlenen 'door middel van passende technische en organisatorische maatregelen, voor zover mogelijk'. De aard van deze bijstand kan sterk variëren 'rekening houdend met de aard van de verwerking' en afhankelijk van het soort activiteit dat aan de verwerker wordt toevertrouwd. De bijzonderheden betreffende de door de verwerker te verlenen bijstand dienen in de overeenkomst of in een bijlage bij de overeenkomst te worden opgenomen.
131. Hoewel de bijstand eenvoudig kan bestaan in het onverwijld doorsturen van elk ontvangen verzoek en/of in de mogelijkheid voor de verwerkingsverantwoordelijke om de ter zake dienende persoonsgegevens rechtstreeks te extraheren en te beheren, zal de verwerker in sommige gevallen specifiekere, technische taken krijgen, met name wanneer hij in staat is de persoonsgegevens op te vragen en te beheren.
132. Het is van cruciaal belang in gedachten te houden dat, hoewel het praktische beheer van individuele verzoeken aan de verwerker kan worden uitbesteed, de verwerkingsverantwoordelijke verantwoordelijk is voor de afhandeling van dergelijke verzoeken. Daarom dient de verwerkingsverantwoordelijke te beoordelen of verzoeken van betrokkenen ontvankelijk zijn en/of aan de vereisten van de AVG voldoen, hetzij per geval, hetzij via duidelijke instructies die de verwerker vóór het begin van de verwerking in de overeenkomst worden verstrekt. Ook kan de verwerkingsverantwoordelijke de in hoofdstuk III vastgestelde termijnen niet verlengen op grond van het feit dat de nodige informatie door de verwerker moet worden verstrekt.

verwerkingsverantwoordelijke actief op de hoogte brengen van elke wijziging van de lijst (met name van elke nieuwe beoogde subverwerker).

1.3.6 De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het waarborgen van de naleving van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 (artikel 28, lid 3, onder f) van de AVG).

133. Het is noodzakelijk dat in de overeenkomst wordt vermeden dat deze bijstandsplichten gewoon worden herhaald: de overeenkomst dient bijzonderheden te bevatten over de wijze waarop de verwerker wordt verzocht de verwerkingsverantwoordelijke te helpen aan de in de lijst vermelde verplichtingen te voldoen. Zo kunnen procedures en modelformulieren worden toegevoegd aan de bijlagen bij de overeenkomst, zodat de verwerker de verwerkingsverantwoordelijke alle nodige informatie kan verstrekken.
134. De aard en de omvang van de door de verwerker te verlenen bijstand kan sterk variëren ' rekening houdend met de aard van de verwerking en de informatie waarover de verwerker beschikt '. De verwerkingsverantwoordelijke moet de verwerker naar behoren informeren over het aan de verwerking verbonden risico en over elke andere omstandigheid die de verwerker kan helpen zijn verplichtingen na te komen.
135. Wat de specifieke verplichtingen betreft, heeft de verwerker in de eerste plaats de plicht om de verwerkingsverantwoordelijke bijstand te verlenen bij het nakomen van de verplichting om passende technische en organisatorische maatregelen te nemen om de veiligheid van de verwerking te waarborgen. 57 Hoewel dit vereiste tot op zekere hoogte kan overlappen met dat volgens welk de verwerker zelf passende beveiligingsmaatregelen treft, blijven deze vereisten, wanneer de verwerkingsactiviteiten van de verwerker binnen het toepassingsgebied van de AVG vallen, twee afzonderlijke verplichtingen, aangezien de ene verwijst naar de eigen maatregelen van de verwerker en de andere naar die van de verwerkingsverantwoordelijke.
136. Ten tweede moet de verwerker de verwerkingsverantwoordelijke bijstand verlenen bij het nakomen van de verplichting om inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit en de betrokkenen te melden. De verwerker moet de verwerkingsverantwoordelijke in kennis stellen van elke inbreuk in verband met persoonsgegevens die gevolgen heeft voor de faciliteiten/IT-systemen van de verwerker of een subverwerker, en de verwerkingsverantwoordelijke helpen bij het verkrijgen van de informatie die in het verslag aan de toezichthoudende autoriteit moet worden vermeld. 58 In de AVG wordt vereist dat de verwerkingsverantwoordelijke een inbreuk zonder onredelijke vertraging informeert om de schade voor individuen tot een minimum te beperken en de mogelijkheid om de inbreuk op passende wijze aan te pakken, te maximaliseren. Daarom dient de kennisgeving van de verwerker aan de verwerkingsverantwoordelijke ook zonder onnodige vertraging plaats te vinden. 59 Afhankelijk van de specifieke kenmerken van de verwerking die aan de verwerker is toevertrouwd, kan het passend zijn dat de partijen in de overeenkomst een specifiek tijdschema (bv. het aantal uur) opnemen waarbinnen de verwerker de verwerkingsverantwoordelijke in kennis dient te stellen, alsook het contactpunt voor dergelijke kennisgevingen, de modaliteit en de minimale inhoud die de verwerkingsverantwoordelijke verwacht. 60 De contractuele regeling tussen de verwerkingsverantwoordelijke en de verwerker kan ook een machtiging en een verplichting voor de verwerker omvatten om een inbreuk in verband met persoonsgegevens rechtstreeks te melden

57 Artikel 32 van de AVG.

58 Artikel 33, lid 3, van de AVG.

overeenkomstig de artikelen 33 en 34, maar de verwerkingsverantwoordelijke blijf wettelijk verantwoordelijk voor de melding van de inbreuk. 61 Indien de verwerker een inbreuk in verband met persoonsgegevens rechtstreeks aan de toezichthoudende autoriteit meldt en betrokkenen informeert overeenkomstig artikel 33 en 34, moet de verwerker ook de verwerkingsverantwoordelijke daarvan in kennis stellen en hem kopieën van de kennisgeving en de aan betrokkenen gegeven informatie verstrekken.

137. Voorts moet de verwerker de verwerkingsverantwoordelijke ook bijstand verlenen bij de uitvoering van gegevensbeschermingseffectbeoordelingen wanneer dat nodig is, en bij de raadpleging van de toezichthoudende autoriteit wanneer uit het resultaat blijkt dat er een hoog risico bestaat dat niet kan worden beperkt.
138. De bijstandsplicht houdt geen verschuiving van de verantwoordelijkheid in, aangezien deze verplichtingen worden opgelegd aan de verwerkingsverantwoordelijke. Hoewel bijvoorbeeld de gegevensbeschermingseffectbeoordeling in de praktijk door een verwerker kan worden uitgevoerd, blijft de verwerkingsverantwoordelijke verantwoordelijk voor de uitvoering van de beoordeling 62 en is de verwerker alleen verplicht om de verwerkingsverantwoordelijke 'indien nodig en op verzoek' bij te staan. 63 Bijgevolg ligt het initiatief voor de uitvoering van de gegevensbeschermingseffectbeoordeling bij de verwerkingsverantwoordelijke en niet bij de verwerker.

1.3.7 Bij beëindiging van de verwerkingsactiviteiten wist de verwerker, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens of bezorgt deze aan hem terug, en verwijdert hij bestaande kopieën (art. 28, lid 3, onder g) van de AVG).

139. De contractuele bepalingen zijn bedoeld om te waarborgen dat op de persoonsgegevens na afloop van 'de verwerkingsdiensten' passende bescherming van toepassing is: het is derhalve aan de verwerkingsverantwoordelijke om te beslissen wat de verwerker met betrekking tot de persoonsgegevens moet doen.
140. De verwerkingsverantwoordelijke kan aan het begin beslissen of persoonsgegevens moeten worden gewist of terugbezorgd door dit in de overeenkomst te preciseren, door middel van een schriftelijke mededeling die tijdig aan de verwerker moet worden toegezonden. In de overeenkomst of andere rechtshandeling dient rekening te worden gehouden met de mogelijkheid voor de verwerkingsverantwoordelijke om de keuze te wijzigen die is gemaakt vóór het einde van de verlening van de verwerkingsdiensten. In de overeenkomst dient de procedure voor het verstrekken van dergelijke instructies te worden gespecificeerd.
141. Als de verwerkingsverantwoordelijke ervoor kiest dat de persoonsgegevens worden gewist, dient de verwerker ervoor te zorgen dat de verwijdering veilig gebeurt, ook om te voldoen aan artikel 32 van de AVG. De verwerker dient aan de verwerkingsverantwoordelijke te bevestigen dat de verwijdering binnen een overeengekomen tijdschema en op een overeengekomen wijze is voltooid.
142. De verwerker moet alle bestaande kopieën van de gegevens wissen, tenzij de Unierechtelijke of lidstaatrechtelijke wetgeving verdere opslag vereist. Indien de verwerker of de

63 Overweging 95 van de AVG.

62 Richtsnoeren van de Groep gegevensbescherming artikel 29 voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking 'waarschijnlijk een hoog risico inhoudt' in de zin van verordening 2016/679, WP 248 rev.01, blz. 14

verwerkingsverantwoordelijke van een dergelijke wettelijke verplichting op de hoogte is, dient hij de andere partij daarvan zo spoedig mogelijk in kennis te stellen.

• 1.3.8 De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in artikel 28 neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen (artikel 28, lid 3, onder h), van de AVG).

143. In de overeenkomst worden bijzonderheden opgenomen over hoe vaak en hoe de informatiestroom tussen de verwerker en de verwerkingsverantwoordelijke dient plaats te vinden, zodat de verwerkingsverantwoordelijke volledig wordt geïnformeerd over bijzonderheden van de verwerking die ter zake dienend zijn om aan te tonen dat aan de verplichtingen van artikel 28 AVG is voldaan. Zo kunnen de ter zake dienende delen van het register van de verwerkingsactiviteiten van de verwerker met de verwerkingsverantwoordelijke worden gedeeld. De verwerker dient alle informatie te verstrekken over de wijze waarop de verwerkingsactiviteit namens de verwerkingsverantwoordelijke zal worden uitgevoerd. In deze informatie dient uitleg te zijn opgenomen over de werking van de gebruikte systemen, de veiligheidsmaatregelen, de wijze waarop aan de vereisten voor gegevensbewaring wordt voldaan, de locatie van de gegevens, de doorgifte van gegevens, wie toegang heeft tot gegevens en wie de ontvangers van de gegevens zijn, de subverwerkers waarop een beroep wordt gedaan, enz.
144. In de overeenkomst worden ook nadere bijzonderheden opgenomen met betrekking tot het vermogen en de plicht om bij te dragen aan inspecties en audits door de verwerkingsverantwoordelijke of een andere door de verwerkingsverantwoordelijke gemachtigde controleur.

In de AVG worden de inspecties en audits gespecificeerd die worden uitgevoerd door de verwerkingsverantwoordelijke of door een derde die daartoe door de verwerkingsverantwoordelijke is gemachtigd. Het doel van een dergelijke audit is ervoor te zorgen dat de verwerkingsverantwoordelijke over alle informatie beschikt over de namens hem verrichte verwerkingsactiviteit en over de door de verwerker geboden garanties. De verwerker kan de keuze van een specifieke controleur voorstellen, maar de uiteindelijke beslissing moet overeenkomstig artikel 28, lid 3, onder h), van de AVG aan de verwerkingsverantwoordelijke worden overgelaten. 64 Bovendien behoudt de verwerkingsverantwoordelijke het recht om de reikwijdte, de methodologie en de resultaten van de inspectie te betwisten, zelfs wanneer de inspectie wordt uitgevoerd door een door de verwerker voorgestelde controleur. 65

De partijen dienen te goeder trouw samen te werken en te beoordelen of en wanneer er audits moeten worden uitgevoerd in de bedrijfsruimten van de verwerker, en welke soort audit of inspectie (op afstand/ter plaatse/op een andere manier om de nodige informatie te verzamelen) in het specifieke geval nodig en passend zou zijn, mede rekening houdend met veiligheidsoverwegingen; de uiteindelijke keuze hiervoor dient te worden gemaakt door de verwerkingsverantwoordelijke. Op basis van de resultaten van de inspectie dient de verwerkingsverantwoordelijke de verwerker te kunnen verzoeken vervolgmaatregelen te nemen, bijvoorbeeld om vastgestelde tekortkomingen en lacunes te

verhelpen. 66 Evenzo dienen specifieke procedures te worden vastgesteld voor de inspectie van subverwerkers door de verwerker en de verwerkingsverantwoordelijke (zie onderafdeling 1.6 hieronder 67 ).

145. De kwestie van de verdeling van de kosten tussen een verwerkingsverantwoordelijke en een verwerker met betrekking tot audits valt niet onder de AVG en is onderworpen aan commerciële overwegingen. In artikel 28, lid 3, onder h), wordt echter vereist dat in de overeenkomst een verplichting wordt opgenomen voor de verwerker om de verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is voor de verwerkingsverantwoordelijke en een verplichting om audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen. Dit betekent in de praktijk dat de partijen in de overeenkomst geen clausules dienen op te nemen die betrekking hebben op de betaling van kosten of vergoedingen die duidelijk onevenredig of buitensporig zouden zijn en daardoor een afschrikkend effect zouden hebben op een van de partijen. Dergelijke clausules zouden inderdaad impliceren dat de rechten en plichten van artikel 28, lid 3, onder h), nooit in de praktijk zouden worden uitgeoefend en louter theoretisch zouden worden, terwijl zij een integrerend deel uitmaken van de gegevensbeschermingswaarborgen waarin artikel 28 AVG voorziet.

1.4 Instructies die in strijd zijn met de gegevensbeschermingswetgeving

146. In artikel 28, lid 3, is bepaald dat 'de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis [stelt] indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.'
147. De verwerker heeft inderdaad de plicht de instructies van de verwerkingsverantwoordelijke op te volgen, maar heeft ook een algemene verplichting om de wet na te leven. Een instructie die een inbreuk oplevert op het gegevensbeschermingsrecht lijkt een conflict tussen de bovengenoemde twee verplichtingen te veroorzaken.
148. Zodra de verwerkingsverantwoordelijke ervan in kennis is gesteld dat een van zijn instructies mogelijk in strijd is met de wetgeving inzake gegevensbescherming, zal hij de situatie moeten beoordelen en nagaan of de instructie daadwerkelijk de wetgeving inzake gegevensbescherming schendt.
149. Het EDPB beveelt de partijen aan te onderhandelen en in de overeenkomst overeenstemming te bereiken over de gevolgen van de kennisgeving van een door de verwerker gegeven inbreuk makende instructie en die van het niet-handelen van de verwerkingsverantwoordelijke in dit verband. Er kan bijvoorbeeld een bepaling worden opgenomen over de beëindiging van de overeenkomst ingeval de verwerkingsverantwoordelijke vasthoudt aan een onwettige instructie. Een ander voorbeeld is een bepaling over de mogelijkheid voor de verwerker om de uitvoering van de betrokken instructie op te schorten totdat de verwerkingsverantwoordelijke zijn instructie bevestigt, wijzigt of intrekt. 68

1.5 Verwerker die het doel en de middelen van de verwerking vaststelt

150. Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd (artikel 28, lid 10 van de AVG).

1.6 Subverwerkers

151. Gegevensverwerkingsactiviteiten worden vaak uitgevoerd door een groot aantal partijen en de onderaannemingsketens worden steeds complexer. In de AVG zijn specifieke regels ingevoerd die in werking treden wanneer een (sub) verwerker een andere speler wil betrekken, waardoor een andere schakel aan de keten wordt toegevoegd, door hem activiteiten toe te vertrouwen die de verwerking van persoonsgegevens vereisen. De analyse van de vraag of de dienstverlener als subverwerker optreedt, dient te worden uitgevoerd in overeenstemming met hetgeen hierboven met betrekking tot het begrip verwerker is beschreven (zie punt hierboven 83).
152. Hoewel de keten vrij lang kan zijn, behoudt de verwerkingsverantwoordelijke zijn centrale rol bij het bepalen van het doel en de middelen van de verwerking. In artikel 28, lid 2, AVG wordt bepaald dat de verwerker geen andere verwerker in dienst mag nemen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke (ook in elektronische vorm). In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de werving of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken. In beide gevallen moet de verwerker de toestemming van de verwerkingsverantwoordelijke schriftelijk verkrijgen voordat de verwerking van persoonsgegevens aan de subverwerker wordt toevertrouwd. Met het oog op de beoordeling en de beslissing om al dan niet onderaanneming toe te staan, moet de verwerker de verwerkingsverantwoordelijke een lijst van beoogde subverwerkers bezorgen (met voor elke subverwerker: hun locatie, wat zij zullen doen en bewijzen, welke waarborgen zijn toegepast) 69 .
153. De voorafgaande schriftelijke toestemming kan specifiek zijn, d.w.z. betrekking hebben op een specifieke subverwerker voor een specifieke verwerkingsactiviteit op een specifiek tijdstip, of algemeen zijn. Dit dient te worden gepreciseerd in de overeenkomst of in een andere rechtshandeling die de verwerking regelt.
154. Wanneer de verwerkingsverantwoordelijke bij de ondertekening van de overeenkomst beslist bepaalde subverwerkers te aanvaarden, dient een lijst van erkende subverwerkers in de overeenkomst of een bijlage daarbij te worden opgenomen. De lijst dient dan te worden bijgewerkt overeenkomstig de door de verwerkingsverantwoordelijke gegeven algemene of specifieke toestemming.
155. Indien de verwerkingsverantwoordelijke ervoor kiest zijn specifieke toestemming te verlenen, dient hij schriftelijk te specificeren op welke subverwerker en op welke verwerkingsactiviteit deze betrekking heeft. Elke volgende wijziging moet door de verwerkingsverantwoordelijke verder worden goedgekeurd voordat deze wordt aangebracht. Als het verzoek van de verwerker om een specifieke toestemming niet binnen de gestelde termijn wordt beantwoord, dient het als afgewezen te worden beschouwd. De verwerkingsverantwoordelijke dient bij het nemen van zijn beslissing om al dan niet

69 Deze informatie is nodig om ervoor te zorgen dat de verwerkingsverantwoordelijke kan voldoen aan het verantwoordingsbeginsel van artikel 24 en aan de bepalingen van artikel 28 lid 1, artikel 32 en hoofdstuk V van de AVG.

• toestemming te verlenen rekening te houden met zijn verplichting om uitsluitend een beroep te doen op verwerkers die afdoende garanties' bieden (zie onderafdeling 1.1 hierboven). 70

156. De verwerkingsverantwoordelijke kan ook zijn algemene toestemming verlenen opdat een beroep wordt gedaan op subverwerkers (in de overeenkomst, met inbegrip van een lijst met dergelijke subverwerkers in een bijlage), die dient te worden aangevuld met criteria om de keuze van de verwerker te sturen (bv. garanties op het gebied van technische en organisatorische maatregelen, deskundigheid, betrouwbaarheid en middelen). 71 In dit scenario moet de verwerker de verwerkingsverantwoordelijke tijdig in kennis stellen van elke voorgenomen toevoeging of vervanging van subverwerker, zodat de verwerkingsverantwoordelijke bezwaar kan aantekenen.
157. Het belangrijkste verschil tussen de specifieke toestemming en de algemene toestemmingsscenario's ligt derhalve in de betekenis die wordt gegeven aan het stilzwijgen van de verwerkingsverantwoordelijke: in de situatie van algemene toestemming kan het verzuim van de verwerkingsverantwoordelijke om binnen de gestelde termijn bezwaar te maken worden geïnterpreteerd als een toestemming.
158. In beide scenario's dient de overeenkomst bijzonderheden te bevatten over de termijn voor de goedkeuring of het bezwaar van de verwerkingsverantwoordelijke en over de wijze waarop de partijen van plan zijn over dit onderwerp te communiceren (bv. modelformulieren). Deze termijn moet redelijk zijn in het licht van het soort verwerking, de complexiteit van de aan de verwerker (en de subverwerkers) toevertrouwde activiteiten en de relatie tussen de partijen. Daarnaast dient de overeenkomst nadere gegevens te bevatten over de praktische stappen naar aanleiding van het bezwaar van de verwerkingsverantwoordelijke (bijvoorbeeld door een termijn te specificeren waarbinnen de verwerkingsverantwoordelijke en de verwerker moeten beslissen of de verwerking moet worden beëindigd).
159. Ongeacht de criteria die de verwerkingsverantwoordelijke voorstelt om aanbieders te kiezen, blijft de verwerker volledig aansprakelijk ten aanzien van de verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van de subverwerkers (artikel 28, lid 4, van de AVG). Daarom dient de verwerker ervoor te zorgen dat hij subverwerkers voorstelt die voldoende garanties bieden.
160. Bovendien moet een verwerker die voornemens is een (gemachtigde) subverwerker in dienst te nemen, met hem een overeenkomst sluiten waarin dezelfde verplichtingen worden opgelegd als die welke door de verwerkingsverantwoordelijke aan de eerste verwerker worden opgelegd, ofwel moeten die verplichtingen worden opgelegd door een andere rechtshandeling uit hoofde van het Unierecht of het recht van de lidstaat. De hele keten van verwerkingsactiviteiten moet in schriftelijke overeenkomsten worden geregeld. Het vereiste om 'dezelfde' verplichtingen op te leggen dient functioneel en niet formeel te worden opgevat: het is niet noodzakelijk dat in de overeenkomst exact dezelfde woorden worden opgenomen als die welke in de overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker worden gebruikt, maar er dient voor te worden gezorgd dat de verplichtingen in wezen dezelfde zijn. Dit betekent ook dat indien de verwerker de subverwerker een specifiek deel van de verwerking toevertrouwt waarop sommige verplichtingen niet van toepassing kunnen zijn, dergelijke verplichtingen niet 'standaard' in de overeenkomst met de subverwerker dienen te worden opgenomen, aangezien dit slechts tot onzekerheid zou leiden. Bij wijze van voorbeeld, wat betreft bijstand bij verplichtingen in verband met inbreuken op persoonsgegevens,

71 Deze verplichting van de verwerkingsverantwoordelijke vloeit voort uit het verantwoordingsbeginsel in artikel 24 en uit de verplichting om te voldoen aan de bepalingen van artikel 28, lid 1, artikel 32 en hoofdstuk V van de AVG.

kan een gegevensinbreuk door een subverwerker rechtstreeks aan de verwerkingsverantwoordelijke worden gemeld indien alle drie de partijen daarmee instemmen. In het geval van een dergelijke rechtstreekse kennisgeving dient de verwerker echter op de hoogte te worden gebracht en een kopie van de kennisgeving te krijgen.

2 GEVOLGEN VAN DE GEZAMENLIJKE VERANTWOORDELIJKHEID VOOR DE VERWERKING

2.1 De respectieve verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken voor de naleving van de verplichtingen uit hoofde van de AVG op transparante wijze vaststellen

161. In artikel 26, lid 1, van de AVG wordt bepaald dat gezamenlijke verwerkingsverantwoordelijken op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de verordening bepalen en overeenkomen.
162. Gezamenlijke verwerkingsverantwoordelijken moeten dus 'wie doet wat' bepalen door onderling te beslissen wie welke taken zal moeten uitvoeren om ervoor te zorgen dat de verwerking voldoet aan de toepasselijke verplichtingen uit hoofde van de AVG met betrekking tot de betrokken gezamenlijke verwerking. Met andere woorden, uit het gebruik van de term ' respectieve ' in artikel 26, lid 1, kan worden opgemaakt dat de verantwoordelijkheden voor de naleving moeten worden verdeeld. Dit sluit het feit niet uit dat de Unierechtelijke of lidstaatrechtelijke wetgeving al bepaalde verantwoordelijkheden van elke gezamenlijke verwerkingsverantwoordelijke kan vaststellen. Indien dit het geval is, dient de regeling tussen de gezamenlijke verwerkingsverantwoordelijken ook te voorzien in aanvullende verantwoordelijkheden die nodig zijn om de naleving van de AVG te waarborgen en die niet onder de wettelijke bepalingen vallen. 72
163. Het doel van deze regels is ervoor te zorgen dat wanneer er meerdere actoren betrokken zijn, met name in complexe gegevensverwerkingsomgevingen, de verantwoordelijkheid voor de naleving van de gegevensbeschermingsregels duidelijk wordt toegewezen om te voorkomen dat de bescherming van persoonsgegevens wordt beperkt of dat een negatief bevoegdheidsconflict leidt tot een achterpoortje in de wetgeving waarbij bepaalde verplichtingen niet worden nagekomen door een van de bij de verwerking betrokken partijen. In dit verband moet duidelijk worden gemaakt dat alle verantwoordelijkheden moeten worden toegewezen op basis van de feitelijke omstandigheden om tot een operationele overeenkomst te komen. Het EDPB merkt op dat er zich situaties voordoen waarin de invloed van één gezamenlijke verwerkingsverantwoordelijke en de feitelijke invloed ervan het bereiken van een overeenkomst bemoeilijken. Deze omstandigheden doen echter niet af aan de gezamenlijke verantwoordelijkheid voor de verwerking en kunnen niet dienen om een van beide partijen vrij te stellen van haar verplichtingen uit hoofde van de AVG.
164. Meer in het bijzonder wordt in artikel 26, lid 1, bepaald dat de vaststelling van hun respectieve verantwoordelijkheden (d.w.z. taken) voor de naleving van de verplichtingen uit hoofde van de AVG

72 'In elk geval moet in de regeling tussen gezamenlijke verwerkingsverantwoordelijken alle verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken aan bod komen, met inbegrip van de verantwoordelijkheden die mogelijk reeds zijn vastgesteld in de desbetreffende Unierechtelijke of lidstaatrechtelijke wetgeving en onverminderd de verplichting van gezamenlijke verwerkingsverantwoordelijken om de essentie van de regeling tussen gezamenlijk verwerkingsverantwoordelijken ter beschikking te stellen overeenkomstig artikel 26, lid 2, AVG.'

moet worden uitgevoerd door gezamenlijke verwerkingsverantwoordelijken 'met name' met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is.

165. Uit deze bepaling blijkt duidelijk dat gezamenlijke verwerkingsverantwoordelijken moeten bepalen wie verantwoordelijk is voor het beantwoorden van verzoeken wanneer betrokkenen hun rechten uit hoofde van de AVG uitoefenen en voor het verstrekken van informatie aan hen, zoals vereist door de artikelen 13 en 14 van de AVG. Dit heeft alleen betrekking op de bepaling in hun interne relatie welke van de partijen verplicht is te antwoorden op welke verzoeken van betrokkenen. . Ongeacht een dergelijke regeling kan de betrokkene overeenkomstig artikel 26, lid 3, van de AVG contact opnemen met beide gezamenlijke verwerkingsverantwoordelijken. Het gebruik van de term ' met name ' duidt er echter op dat de in deze bepaling bedoelde verplichtingen die onderworpen zijn aan de toewijzing van verantwoordelijkheden voor de naleving door elke betrokken partij, niet uitputtend zijn. Hieruit volgt dat de verdeling van de verantwoordelijkheden inzake naleving tussen de gezamenlijke verwerkingsverantwoordelijken niet beperkt blijft tot de in artikel 26, lid 1, genoemde onderwerpen, maar zich uitstrekt tot andere verplichtingen van de verwerkingsverantwoordelijke uit hoofde van de AVG. Gezamenlijke verwerkingsverantwoordelijken moeten er immers voor zorgen dat de volledige gezamenlijke verwerking volledig in overeenstemming is met de AVG.
166. In dit verband behoren tot de handhavingsmaatregelen en de daarmee samenhangende verplichtingen waar de gezamenlijke verwerkingsverantwoordelijken rekening mee dienen te houden wanneer ze hun respectieve bevoegdheden vaststellen, naast die welke al specifiek in artikel 26, lid 1, worden vermeld, onder meer zonder beperking:
167.  Toepassing van de algemene beginselen inzake gegevensbescherming (artikel 5)
168.  Rechtsgrond van de verwerking 73 (artikel 6)
169.  Beveiligingsmaatregelen (artikel 32)
170.  Kennisgeving van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en de betrokkene 74 (artikelen 33 en 34)
171.  Gegevensbeschermingseffectbeoordelingen (artikelen 35 en 36) 75

73 Hoewel de AVG niet in de weg staat aan het gebruik van verschillende rechtsgronden door gezamenlijke verwerkingsverantwoordelijken voor verschillende verwerkingen die zij uitvoeren, wordt aanbevolen om, waar mogelijk, dezelfde rechtsgrondslag te gebruiken voor een bepaald doel.

•  Een beroep doen op een verwerker (artikel 28)
•  Doorgiften van gegevens aan derde landen (Hoofdstuk V)
•  Organisatie van contacten met betrokkenen en toezichthoudende autoriteiten

167. Andere onderwerpen die in overweging kunnen worden genomen, afhankelijk van de verwerking in kwestie en de intentie van de partijen, zijn bijvoorbeeld de beperkingen op het gebruik van persoonsgegevens voor een ander doel door een van de gezamenlijke verwerkingsverantwoordelijken. In dit verband hebben beide verwerkingsverantwoordelijken altijd de plicht ervoor te zorgen dat zij allebei over een rechtsgrondslag voor de verwerking beschikken. Soms worden persoonsgegevens in het kader van gezamenlijke verwerkingsverantwoordelijkheid door de ene verwerkingsverantwoordelijke aan de andere doorgegeven. Wat de verantwoordingsplicht betreft, heeft elke verwerkingsverantwoordelijke de plicht ervoor te zorgen dat de gegevens niet verder worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld door de verwerkingsverantwoordelijke die de gegevens deelt. 76
168. Gezamenlijke verwerkingsverantwoordelijken kunnen over een zekere mate van flexibiliteit beschikken bij de onderlinge verdeling en toewijzing van hun verplichtingen, mits zij de volledige naleving van de AVG met betrekking tot de gegeven verwerking waarborgen. Bij de toewijzing dient rekening te worden gehouden met factoren zoals wie bekwaam en in staat is de rechten van de betrokkene effectief te waarborgen en te voldoen aan de desbetreffende verplichtingen uit hoofde van de AVG. Het EDPB beveelt aan de relevante factoren en de interne analyse die is uitgevoerd om de verschillende verplichtingen toe te wijzen schriftelijk vast te leggen. Deze analyse maakt deel uit van de documentatie krachtens het verantwoordingsbeginsel.
169. De verplichtingen hoeven niet gelijkelijk over de gezamenlijke verwerkingsverantwoordelijken te worden verdeeld. In dit verband heeft het HvJ-EU onlangs verklaard dat: ' het bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs uit in een gelijkwaardige verantwoordelijkheid van de verschillende ondernemers die betrokken zijn bij de verwerking van persoonsgegevens '. 77 Er kunnen echter gevallen zijn waarin niet alle verplichtingen kunnen worden verdeeld en elke gezamenlijke verwerkingsverantwoordelijke mogelijk moet voldoen aan dezelfde vereisten die voortvloeien uit de AVG, rekening houdend met de aard en context van de gezamenlijke verwerking. Zo moeten gezamenlijke verwerkingsverantwoordelijken die gebruikmaken van gedeelde gegevensverwerkingsinstrumenten of -systemen allebei de naleving van met name het doelbindingsbeginsel waarborgen en passende maatregelen nemen om de beveiliging van persoonsgegevens die in het kader van de gedeelde instrumenten worden verwerkt, te waarborgen.
170. Een ander voorbeeld is de verplichting voor elke gezamenlijke verwerkingsverantwoordelijke om een register van de verwerkingsactiviteiten bij te houden of een functionaris voor gegevensbescherming aan te wijzen indien aan de voorwaarden van artikel 37, lid 1, is voldaan. Dergelijke vereisten houden

(bijvoorbeeld bescherming van handelsgeheimen, intellectueel eigendom, vertrouwelijke bedrijfsinformatie) of kwetsbare punten te onthullen' (p7).

76 Elke openbaarmaking door een verwerkingsverantwoordelijke vereist een rechtsgrond en een beoordeling van de verenigbaarheid, ongeacht of de ontvanger een afzonderlijke verwerkingsverantwoordelijke of een gezamenlijke verwerkingsverantwoordelijke is. Met andere woorden, het bestaan van een relatie tussen de gezamenlijke verwerkingsverantwoordelijken betekent niet automatisch dat de gezamenlijke verwerkingsverantwoordelijke die de gegevens ontvangt, de gegevens ook rechtmatig kan verwerken voor aanvullende doeleinden die buiten de gezamenlijke zeggenschap vallen.

geen verband met de gezamenlijke verwerking, maar zijn op hen van toepassing als verwerkingsverantwoordelijken.

2.2 De verantwoordelijkheden moeten worden toegewezen door middel van een regeling

2.2.1 Vorm van de regeling

171. In artikel 26, lid 1, van de AVG is voorzien in de nieuwe verplichting voor gezamenlijke verwerkingsverantwoordelijken om hun respectieve verantwoordelijkheden vast te stellen ' door middel van een onderlinge regeling '. De juridische vorm van een dergelijke regeling wordt in de AVG niet gespecificeerd. Daarom staat het gezamenlijke verwerkingsverantwoordelijken vrij om overeenstemming te bereiken over de vorm van de regeling.
172. Bovendien is de regeling inzake de toewijzing van verantwoordelijkheden bindend voor iedere gezamenlijke verwerkingsverantwoordelijke. Zij komen overeen en verbinden zich er tegenover elkaar toe verantwoordelijk te zijn voor de naleving van de respectieve verplichtingen die in hun regeling als hun verantwoordelijkheid zijn vermeld.
173. Daarom beveelt het EDPB met het oog op de rechtszekerheid aan dat zelfs wanneer een overeenkomst of een andere rechtshandeling niet wettelijk verplicht is volgens de AVG, een dergelijke regeling wordt getroffen in de vorm van een bindend document, zoals een overeenkomst of een andere bindende rechtshandeling uit hoofde van de Unierechtelijke of lidstaatrechtelijke wetgeving die op de verwerkingsverantwoordelijken van toepassing is. Dit zou zekerheid bieden en kan worden gebruikt om transparantie en verantwoordingsplicht aan te tonen. In het geval van niet-naleving van de overeengekomen toewijzing waarin de regeling voorziet, biedt de bindende aard ervan immers de mogelijkheid voor de ene verwerkingsverantwoordelijke om de andere aansprakelijk te stellen voor datgene wat volgens de overeenkomst onder zijn verantwoordelijkheid valt. In overeenstemming met het verantwoordingsbeginsel zal het gebruik van een overeenkomst of een andere rechtshandeling ook de gezamenlijke verwerkingsverantwoordelijken in staat stellen aan te tonen dat zij voldoen aan de verplichtingen die de AVG hun oplegt.
174. De wijze waarop de verantwoordelijkheden, d.w.z. de taken, tussen elke gezamenlijke verwerkingsverantwoordelijke worden toegewezen, moet in duidelijke en eenvoudige taal in de regeling worden vermeld. 78 Dit vereiste is belangrijk omdat het zorgt voor rechtszekerheid en mogelijke conflicten voorkomt, niet alleen in de relatie tussen de gezamenlijke verwerkingsverantwoordelijken, maar ook ten aanzien van de betrokkenen en de gegevensbeschermingsautoriteiten.
175. Met het oog op een beter kader voor de toewijzing van de verantwoordelijkheden tussen de partijen beveelt het EDPB aan dat de regeling ook algemene informatie over de gezamenlijke verwerking bevat door met name het voorwerp en het doel van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen te specificeren.

78 Zoals vermeld in overweging 79 van de AVG 'Voor (...) de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt '.

2.2.2 Verplichtingen jegens betrokkenen

176. De AVG voorziet in verschillende verplichtingen van gezamenlijke verwerkingsverantwoordelijken jegens betrokkenen:

Uit de regeling moet duidelijk blijken welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is

177. Als aanvulling op hetgeen hierboven in afdeling 2.1 van deze richtsnoeren is uiteengezet, is het belangrijk dat de gezamenlijke verwerkingsverantwoordelijken in de regeling hun respectieve rol verduidelijken, 'met name' met betrekking tot de uitoefening van de rechten van de betrokkene en hun plicht om de in de artikelen 13 en 14 bedoelde informatie te verstrekken. In artikel 26 van de AVG wordt het belang van deze specifieke verplichtingen benadrukt. De gezamenlijke verwerkingsverantwoordelijken moeten daarom overeenstemming bereiken over de wijze waarop en door wie de informatie wordt verstrekt en over de wijze waarop en door wie de antwoorden op de verzoeken van de betrokkene zullen worden gegeven en dit alles organiseren. Ongeacht de inhoud van de regeling op dit specifieke punt kan de betrokkene contact opnemen met een van de gezamenlijke verwerkingsverantwoordelijken om zijn rechten uit te oefenen overeenkomstig artikel 26, lid 3, zoals hieronder nader wordt toegelicht.
178. De wijze waarop deze verplichtingen in de regeling zijn georganiseerd, dient 'naar behoren', d.w.z. nauwkeurig, de realiteit van de onderliggende gezamenlijke verwerking te weerspiegelen. Als bijvoorbeeld slechts één van de gezamenlijke verwerkingsverantwoordelijken met de betrokkenen communiceert met het oog op de gezamenlijke verwerking, zou die verwerkingsverantwoordelijke beter in staat zijn om de betrokkenen te informeren en hun verzoeken te beantwoorden.

De wezenlijke inhoud van de regeling moet aan de betrokkene beschikbaar worden gesteld

179. Deze bepaling heeft tot doel de betrokkene op de hoogte te brengen van de ' wezenlijke inhoud van de regeling '. Zo moet het voor een betrokkene volledig duidelijk zijn welke verwerkingsverantwoordelijke fungeert als contactpunt voor de uitoefening van de rechten van de betrokkene (niettegenstaande het feit dat hij/zij zijn/haar rechten met betrekking tot en jegens iedere verwerkingsverantwoordelijke kan uitoefenen). De verplichting om de wezenlijke inhoud van de regeling ter beschikking van de betrokkenen te stellen, is belangrijk in geval van gezamenlijke verwerking, zodat de betrokkene weet waarvoor elke verwerkingsverantwoordelijke verantwoordelijk is.
180. Wat onder het begrip 'wezenlijke inhoud van de regeling' dient te vallen, wordt in de AVG niet gespecificeerd. Het EDPB beveelt aan dat de wezenlijke inhoud ten minste alle elementen van de in de artikelen 13 en 14 bedoelde informatie omvat die reeds toegankelijk moeten zijn voor de betrokkene, en dat voor ieder element in de regeling wordt gespecificeerd welke gezamenlijke verwerkingsverantwoordelijke verantwoordelijk is voor het waarborgen van de naleving ervan. In de wezenlijke inhoud van de regeling moet ook het contactpunt worden vermeld, indien dit is aangewezen.
181. De wijze waarop deze informatie ter beschikking van de betrokkene wordt gesteld, is niet gespecificeerd. In tegenstelling tot andere bepalingen van de AVG (zoals artikel 30, lid 4, voor de registratie van de verwerking of artikel 40, lid 11, voor het register van goedgekeurde gedragscodes), wordt in artikel 26 niet bepaald dat de beschikbaarheid ' desgevraagd ' of ' via geëigende kanalen openbaar (wordt gemaakt) '. Daarom is het aan de gezamenlijke verwerkingsverantwoordelijken om te beslissen hoe de wezenlijke inhoud van de regeling op de meest doeltreffende wijze beschikbaar kan worden gemaakt voor de betrokkenen (bv. samen met de informatie in artikel 13 of 14, in het

privacybeleid of op verzoek aan de functionaris voor gegevensbescherming, indien van toepassing, of aan het eventueel aangewezen contactpunt). Gezamenlijke verwerkingsverantwoordelijken dienen ervoor te zorgen dat de informatie op een consistente wijze wordt verstrekt.

In de regeling kan een contactpunt voor betrokkenen worden aangewezen

182. Artikel 26, lid 1, voorziet in de mogelijkheid voor gezamenlijke verwerkingsverantwoordelijken om in de regeling een contactpunt voor betrokkenen aan te wijzen. Een dergelijke aanwijzing is niet verplicht.
183. Door te worden geïnformeerd over één enkele manier om contact op te nemen met mogelijke meerdere gezamenlijke verwerkingsverantwoordelijken, kunnen betrokkenen weten met wie zij contact kunnen opnemen met betrekking tot alle kwesties in verband met de verwerking van hun persoonsgegevens. Bovendien kunnen meerdere gezamenlijke verwerkingsverantwoordelijken hun betrekkingen en communicatie met betrokkenen efficiënter coördineren.
184. Om deze redenen beveelt het EDPB gezamenlijke verwerkingsverantwoordelijken aan een dergelijk contactpunt aan te wijzen om de uitoefening van de rechten van betrokkenen uit hoofde van de AVG te vergemakkelijken.
185. Het contactpunt kan de functionaris voor gegevensbescherming zijn, indien van toepassing, de vertegenwoordiger in de Unie (voor niet in de Unie gevestigde gezamenlijke verwerkingsverantwoordelijken) of elk ander contactpunt waar informatie kan worden verkregen.

Ongeacht de voorwaarden van de regeling kunnen betrokkenen hun rechten met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.

186. Op grond van artikel 26, lid 3, is een betrokkene niet gebonden aan de voorwaarden van de regeling en kan hij of zij zijn of haar rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
187. In het geval van gezamenlijke verwerkingsverantwoordelijken die in verschillende lidstaten zijn gevestigd, of indien slechts één van de gezamenlijke verwerkingsverantwoordelijken in de Unie is gevestigd, kan de betrokkene bijvoorbeeld naar eigen keuze contact opnemen met de verwerkingsverantwoordelijke die gevestigd is in de lidstaat waar hij zijn of haar gewone verblijfplaats of plaats van zijn of haar werk heeft, of met de verwerkingsverantwoordelijke die elders in de EU of in de EER is gevestigd.
188. Zelfs als de regeling en de beschikbare wezenlijke inhoud ervan een contactpunt aanwijzen voor het ontvangen en behandelen van alle verzoeken van betrokkenen, kunnen de betrokkenen zelf nog steeds een andere keuze maken.
189. Daarom is het belangrijk dat de gezamenlijke verwerkingsverantwoordelijken vooraf in hun regeling bepalen hoe zij de antwoorden op verzoeken die zij van betrokkenen kunnen ontvangen, zullen beheren. In dit verband wordt aanbevolen dat gezamenlijke verwerkingsverantwoordelijken de ontvangen verzoeken meedelen aan de andere verantwoordelijken of aan het aangewezen contactpunt, zodat zij effectief kunnen worden afgehandeld. Het verplicht stellen van betrokkenen om contact op te nemen met het aangewezen contactpunt of de verwerkingsverantwoordelijke zou de betrokkene een buitensporige last opleggen die indruist tegen de doelstelling om de uitoefening van hun rechten uit hoofde van de AVG te vergemakkelijken.

2.3 Verplichtingen jegens gegevensbeschermingsautoriteiten

190. Gezamenlijke verwerkingsverantwoordelijken dienen in de regeling de wijze te vast te leggen waarop zij met de bevoegde toezichthoudende gegevensbeschermingsautoriteiten zullen communiceren. Deze communicatie kan betrekking hebben op de mogelijke raadpleging uit hoofde van artikel 36 van de AVG, de melding van een inbreuk in verband met persoonsgegevens en de aanwijzing van een functionaris voor gegevensbescherming.
191. Er zij aan herinnerd dat de gegevensbeschermingsautoriteiten niet gebonden zijn aan de voorwaarden van de regeling wat betreft de kwestie van de kwalificatie van de partijen als gezamenlijke verwerkingsverantwoordelijken of het aangewezen contactpunt. Derhalve kunnen de autoriteiten contact opnemen met iedere gezamenlijke verwerkingsverantwoordelijke om hun bevoegdheden uit hoofde van artikel 58 met betrekking tot de gezamenlijke verwerking uit te oefenen.

U bent de verwerkingsverantwoordelijke

Beslist u hierover?

U bent de verwerkingsverantwoordelijke

Is er een andere partij

Bentu de enige

Bent u op grond van een

Is de verwerking nodig om een

Nee, ik voer de verwerking uit namens een andere

•

betrokken bij de verwerkingsver antwoordelijke en moet u

rechtshandeling aangewezen als

De rechtshandeling is van toepassing en u bent de verwerkingsverantwoordelijke voor

van de verwerking die nodig is om deze taak taak uit te voeren waarvoor u

voor deze verwerking van

U bent een verwerker het doel of de

persoonsgegevens (zie hieronder voor de partij, overeenkomstig haar instructies.

doeleinden waarvoor beslissen over het doel en de middelen van

verwerkingsverantwoordelijke volgens de rechtshandeling

uit voeren

Ik neem beslissingen over bepaalde te gebruiken de gegevens worden

persoonsgege vensverwerking in die specifieke verwerking

kwestie?

de verwerking voor de verwerking in kwestie?

verantwoordelijk bent?

beoordeling van de gezamenlijke verantwoordelijkheid voor de verwerking als

(expliciete wettelijke

(impliciete wettelijke verwerkt

niet-wezenlijke middelen (bv., welke IT-systemen of andere technische middelen worden gebruikt

•

•

•

welke bevoegdheid)

bevoegdheid)

er andere entiteiten bij betrokken zijn)

voor de verwerking of bijzonderheden over de verwerkt

Bijlage I - Stroomschema voor de toepassing van de begrippen verwerkingsverantwoordelijke, verwerker en gezamenlijke verwerkingsverantwoordelijken in de praktijk

gegevens worden worden bewaard

Factoren die erop wijzen dat u

• De verwerking levert u een voordeel op of u heeft er

Ik weet niet wie beslist

• U verwerkt de persoonsgegevens voor het doel van de

De volgende factoren kunnen helpen bij over het doel en de

Factoren die erop wijzen dat u belang bij (naast de loutere betaling voor de diensten

verwerkingsverantwoordelijke de verwerker bent

die van een andere verwerkingsvera ntwoordelijke het vaststellen van de geschikte

middelen van de een andere partij en volgens haar schriftelijke

bent kwalificatie van de rollen:

worden ontvangen)

verwerking.:

instructies = u heeft geen eigen doel voor de verwerking.

•Als een onderdeel of een gevolg van de verwerking

• Een andere partij houdt toezicht ap uw verwerkingsactiviteiten om ervoor te zorgen dat u de

de betrokkenen zijn uw werknemers)

instructies en de voorwaarden van een overeenkomst naleeft.

inherent aan de rol of de activiteiten van uw entiteit

(bv. wegens traditionele rollen of deskundigheid) die

• U streeft geen andere eigen doelstelling na dan het eigen bedrijfsmatige belang om diensten te verlenen.

uit het oogpunt van gegevensbescherming verantwoordelijkheden met zich meebrengen

• U bent aangesteld om specifieke persoonsgegevens worden verwerkt

• U heeft de verwerking van de persoonsgegevens toevertrouwd aan een externe organisatie om de

Hebben de gezamenlijke of convergerende beslissingen

U bent de enige verwerkingsverantwoordelijke

U bent gezamenlijke

• de andere betrokken partijen kunnen

Bepalen u en een andere partij/andere partijen gezamenlijk het

U bent gezamenlijke doel en de middelen van de verwerking?

verwerkingsverantwoordelijken voor over het doel en de middelen betrekking op de gehele

verwerkingsver antwoordelijken voor de afzonderlijke zelfstandige

stadia van de verwerking waarvoor u het verwerkingsverantwoorde lijken zijn voor hun

Is er meer dan één partij die een beslissende invloed heeft over verwerking in kwestie?

de vraag of en hoe de verwerking plaatsvindt - hetzij door een de gehele verwerking

eigen doel of verwerkers in overeenstemming doel en de middelen samen bepaalt en

afzonderlijke verwerkingsver antwoordelijken voor die

gezamenlijke beslissing, hetzij door convergeren de beslissingen met het stroomschema hierboven

die elkaar aanvullen en noodzakelijk zijn voor de verwerking omdat ze een tastbaar effect hebben op de vaststelling van het

verwerkingsactiviteiten waarvoor u het doel en de middelen afzonderlijk bepaalt

Gezamenlijke verantwoordelijkheid voor de verwerking - Als u de verwerkingsverantwoordelijke bent en andere partijen betrokken zijn bij de verwerking van persoonsgegevens:

onscheidbaar, d.w.z. onlosmakelijk met die van de andere verbonden.

---

Footnotes

1. Alle verwijzingen in dit document naar 'lidstaten' moeten worden gelezen als verwijzingen naar 'EERlidstaten'.

2. Advies 1/2010 van de Groep artikel 29 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker', goedgekeurd op 16 februari 2010, 264/10/NL, WP 169.

3. Advies 3/2010 van de Groep artikel 29 over het verantwoordingsbeginsel, goedgekeurd op 13 juli 2010, 00062/10/NL WP 173.

4. Zie ook de conclusie van advocaat-generaal Mengozzi in de zaak Jehovah's getuigen (C-25/17, ECLI:EU:C:2018:57, punt 68) (' Wat de vaststelling van de 'voor de verwerking verantwoordelijke' in de zin van richtlijn 95/46 betreft, ben ik [...] van mening dat overdreven formalisme ertoe kan leiden dat de bepalingen van richtlijn 95/46 gemakkelijk kunnen worden omzeild, en dat bijgevolg eerder moet worden uitgegaan van een feitelijke dan van een formele analyse [...] ')

5. Arrest van het HvJ-EU van 13 mei 2014, Google Spain SL en Google Inc./Agencia Española de Protección de Datos (AEPD) en Mario Costeja González, zaak C-131/12, punt 34; arrest van het HvJ-EU 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein zaak C-210/16, punt 28; arrest van het HvJEU van 29 juli 2019, Fashion ID GmbH & Co.KG/Verbraucherzentrale NRW eV, zaak C-40/17, punt 66.

6. Zo heeft het HvJ-EU in zijn arrest in de zaak Jehovah's getuigen, C-25/17, ECLI:EU:C:2018:551, punt 75, geoordeeld dat een geloofsgemeenschap samen met haar leden-verkondigers kan worden beschouwd als verwerkingsverantwoordelijke. Arrest in de zaak Jehova's getuigen, C-25/17, ECLI:EU:C:2018:551, punt 75.

7. Het EDPB is van mening dat dit voorbeeld, dat voorheen was opgenomen in overweging (47) van Richtlijn 95/46/EG, ook in het kader van de AVG relevant blijft.

8. Zie bv. de Groep gegevensbescherming artikel 29, Advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT), 22 november 2006, WP128, blz. 11.

9. Zie deel I, afdeling 3 ('Definitie van gezamenlijke verwerkingsverantwoordelijken'). 14 Zie ook de conclusie van advocaat-generaal Bot in de zaak Wirtschaftsakademie(C-210/16 C -210/16, ECLI:EU:C:2017:796, punt 46.

10. Arrest in de zaak Jehova's getuigen, C-25/17, ECLI:EU:C:2018:551, punt 68.

11. Arrest in de zaak Fashion ID, C -40/17, ECLI:EU:C:2019:629, punt 74: ' Zoals de advocaat-generaal [...] heeft opgemerkt, kan een natuurlijke of rechtspersoon voor bewerkingen die verband houden met de verwerking van

12. Arrest in de zaak Wirtschaftsakademie, C-201/16, ECLI :EU :C :2018 :388, punt 38.

13. Zie met name Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie, (C210/16), Tietosuojavaltuutettu/Jehovan todistajat - uskonnollinen yhdyskunta ( C-25/17), Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV (C-40/17). Er zij op gewezen dat deze arresten van het HvJ-EU weliswaar zijn gewezen over de interpretatie van het begrip 'gezamenlijke verwerkingsverantwoordelijken' in het kader van Richtlijn 95/46/CE, maar dat zij geldig blijven in het kader van de AVG, aangezien de elementen die dit begrip bepalen in het kader van de AVG dezelfde blijven als in de richtlijn.

14. Arrest in de zaak Wirtschaftsakademie, C-210/16, ECLI:EU:C:2018:388, punt 38.

15. Arrest in de zaak Jehova's getuigen, C-25/17, ECLI:EU:C:2018:551, punt 75.

16. Arrest in de zaak Fashion ID, C-40/17, ECLI: EU: 2018: 1039, punt 74: ' Daarentegen kan die natuurlijke of rechtspersoon, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht in dit verband voorziet, niet worden geacht in de zin van die bepaling verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt '.

17. Arrest in de zaak Fashion ID , C-40/17, ECLI:EU:2018:1039, punt 80.

18. Arrest in de zaak Wirtschaftsakademie, C-210/16, ECLI:EU:C:2018:388, punt 34.

19. Arrest in de zaak Wirtschaftsakademie, C-210/16, ECLI:EU:C:2018:388, punt 39.

20. Arrest in de zaak Fashion ID, C-40/17, ECLI:EU:2018:1039, punten 77-79.

21. Zie deel I, onderafdeling 2.1.4, waarin het onderscheid tussen wezenlijke en niet-wezenlijke middelen wordt beschreven.

22. Zie ook overweging 81 van de AVG, waarin wordt verwezen naar 'een verwerker verwerkingsactiviteiten toevertrouwen', waarmee wordt aangegeven dat de verwerkingsactiviteit als zodanig een belangrijk onderdeel is van de beslissing van de verwerkingsverantwoordelijke om een verwerker te verzoeken namens hem persoonsgegevens te verwerken.

23. Zie ook artikel 28, lid 3, onder h), van de AVG.

24. Artikel 28, lid 3, is niet alleen van toepassing op verwerkingsverantwoordelijken. In de situatie waarin alleen de verwerker onder het territoriale toepassingsgebied van de AVG valt, is de verplichting alleen rechtstreeks van toepassing op de verwerker, zie ook EDPB-richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG, blz. 12.

25. Artikel 28, lid 7, van de AVG. Artikel 28, lid 7, van de AVG. Artikel 28, lid 7, van de AVG. Artikel 28, lid 7, van de AVG. Zie het gezamenlijk advies 1/2021 van de EDPB-EDPS over standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers: https://edpb.europa.eu/system/files/2021-04/edpbedpsjointopinion01 2021 sccs c p nl.pdf

26. Artikel 28, lid 8, van de AVG. Het register voor besluiten van toezichthoudende autoriteiten en rechtbanken over kwesties die in het kader van het coherentiemechanisme worden behandeld, met inbegrip van standaardcontractbepalingen met het oog op de naleving van artikel 28 van de AVG, is te vinden op: https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-decisions nl

27. Zie ook advies 14/2019 van het EDPB inzake het door de Deense toezichthoudende autoriteit voorgelegde ontwerp van standaardcontractbepalingen (artikel 28, lid 8 van de AVG), blz. 5.

28. Zie deel II, onderafdeling 1.5 ('Bepaling van het doel en de middelen van de verwerking').

29. Advies 14/2019 van het EDPB inzake het door de Deense toezichthoudende autoriteit voorgelegde ontwerp van standaardcontractbepalingen, (artikel 28, lid 8 van de AVG), 9 juli 2019, in punt 44.

30. Zie deel II - onderafdeling 1.6 ('Subverwerkers').

31. Zie voor meer informatie, zie de Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, WP250rev.01, 6 februari 2018, blz. 13-14.

32. Zie ook advies 14/2019 van het EDPB inzake het door de Deense toezichthoudende autoriteit voorgelegde ontwerp van standaardcontractbepalingen (artikel 28, lid 8 van de AVG), 9 juli 2019, in punt 40.

33. Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, WP250rev.01, 6 februari 2018, blz. 14.

34. Zie het gezamenlijk advies 1/2021 van de EDPB-EDPS over modelcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers, punt 43.

35. Zie advies 14/2019 van het EDPB inzake het door de Deense toezichthoudende autoriteit voorgelegde ontwerp van standaardcontractbepalingen (artikel 28, lid 8 van de AVG), punt 43.

36. Zie advies 14/2019 van het EDPB inzake het door de Deense toezichthoudende autoriteit voorgelegde ontwerp van standaardcontractbepalingen (artikel 28, lid 8 van de AVG), punt 43.

37. Zie deel II - onderafdeling 1.6 ('Subverwerkers').

38. Zie het Gezamenlijk advies nr. 1/2021 van de EDPB en de EDPS over standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers, punt 39.

39. Zie deel II - onderafdeling 1.1 ('Keuze van de verwerker').

40. Zie ook de richtsnoeren van het EDPB voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening nr. 2016/679, WP250.rev.01, waarin is bepaald dat de gezamenlijke verantwoordelijkheid voor de verwerking inhoudt ' dat wordt vastgesteld welke partij verantwoordelijk is voor de nakoming van de verplichtingen uit hoofde van de artikelen 33 en 34 . De WP29 beveelt aan dat de contractuele regelingen tussen gezamenlijke verwerkingsverantwoordelijken bepalingen bevatten waarin is vastgelegd welke verwerkingsverantwoordelijke de leiding neemt of verantwoordelijk is voor de nakoming van de in de AVG opgenomen verplichtingen om inbreuken te melden (blz. 13)'.

41. Zie ook de richtsnoeren van het EDPB over gegevensbeschermingseffectbeoordelingen, waarin het volgende is opgenomen: ' Wanneer gezamenlijke verwerkingsverantwoordelijken bij de verwerking betrokken zijn, moeten ze hun respectieve verplichtingen precies bepalen. In hun gegevensbeschermingseffectbeoordeling moet worden beschreven welke partij verantwoordelijk is voor de verschillende maatregelen die zijn ontworpen om risico's aan te pakken en de rechten en vrijheden van de betrokkenen te beschermen. Elke verwerkingsverantwoordelijke moet uiteenzetten wat zijn behoeften zijn en moet nuttige informatie delen zonder geheimen prijs te geven

42. Arrest in de zaak Wirtschaftsakademie , C-210/16, ECLI:EU:C:2018:388, punt 43.