Spring naar content

Voor elke dienstverlener is het belangrijk om te weten dat de AVG (ook wel bekend als GDPR) onderscheid maakt tussen verantwoordelijken en verwerkers. De verantwoordelijke is de partij die bepaalt wat er met persoonsgegevens gebeurt en met welk doel – in de meeste gevallen is dit de adverteerder. De verwerker is de zelfstandige partij – dus niet een medewerker van de adverteerder – die in opdracht van de adverteerder gegevens verwerkt.

Neem een bekend merk in de consumentenelektronica. Als dit merk een e-mail service provider (ESP) inschakelt om e-mailcampagnes te versturen, is de ESP de verwerker en het merk de verantwoordelijke. Het merk bepaalt wat er met de persoonsgegevens gebeurt en hoe: e-mailadres, naam en koopinformatie uit het verleden worden gebruikt om een zo relevant mogelijke mail te verzenden. De ESP heeft geen invloed op hoe er met die gegevens wordt omgegaan, maar mag wel zelf kiezen met welk e-mailprogramma de mail wordt verstuurd en hoe de mail eruit ziet.

Soms is het onderscheid tussen verantwoordelijke en verwerker wat minder duidelijk. Als het elektronicamerk bijvoorbeeld een dataleverancier inhuurt die gespecialiseerd is in het verrijken van de klantprofielen (profileren), dan kan die dataleverancier ook (mede)verantwoordelijke zijn. Hij bepaalt immers (mede) wat er gebeurt met de gegevens.

Daarnaast kan een dienstverlener ook zelf verantwoordelijke zijn voor (een deel van) de verwerking van persoonsgegevens. Bijvoorbeeld voor HR-data van personeel of (B2B-) verkoopgegevens. Daarvan bepaalt de dienstverlener immers zelf hoe de data wordt verwerkt en onder welke omstandigheden. Of je verantwoordelijke of verwerker bent, hangt dus af van het type verwerking dat je doet – en dat moet je in principe per situatie beoordelen.

Verplichte verwerkersovereenkomst

Onder de huidige Wet bescherming persoonsgegevens is het al verplicht dat de verantwoordelijke en de verwerker een verwerkersovereenkomst afsluiten. Onder de AVG komt daar een aantal verplichte onderwerpen bij. Een belangrijk onderwerp in deze overeenkomst is doelbinding. Dit betekent dat je als dienstverlener alleen de persoonsgegevens mag verwerken voor zover dat in lijn is met de doelen die de opdrachtgever heeft gesteld. Dat betekent dat de ESP niet uit eigen naam de ontvangers mag mailen of de gegevens zomaar aan andere partijen mag doorgeven.

Een ander nieuw onderwerp is het inschakelen van subverwerkers. Als de ESP bijvoorbeeld emailverzendsoftware gebruikt, dan geldt die verzender binnen deze samenwerking als subverwerker. De opdrachtgever moet toestemming geven voordat deze subverwerker mag worden ingezet. Ook moet de ESP een subverwerkersovereenkomst opstellen, zodat de verzender zich aan dezelfde afspraken houdt.

Naast deze onderwerpen moeten er andere afspraken in de verwerkersovereenkomst worden vastgelegd, zoals over de beveiliging van de gegevens, de duur van verwerkingen en het verwijderen van de gegevens aan het einde van de opdracht. Ook moet de verwerker borgen dat iedereen die betrokken is bij de verwerking van de persoonsgegevens, bijvoorbeeld personeel, daar vertrouwelijk mee omgaat. Dat alles brengt de nodige administratie met zich mee. Daarom heeft het juridische team van DDMA een model-verwerkersovereenkomst opgesteld. Leden kunnen dit aanvragen in het kader van het AVG voorlichtingstraject (deel 4) van de brancheorganisatie.

Ook aansprakelijkheid en boetes voor dienstverleners

Nu is het nog zo dat alle wettelijke aansprakelijkheid bij de opdrachtgever ligt. Dat gaat veranderen, want onder de AVG heb je als dienstverlener ook bepaalde plichten die – wanneer niet nageleefd –beboet kunnen worden. We zetten hieronder de belangrijkste verplichtingen op een rij. Hieraan is een boete van maximaal 20 miljoen euro of 4% van de omzet verbonden:

  1. Dienstverleners mogen als verwerker alleen gegevens verwerken in opdracht van de opdrachtgever. Als je ook gegevens voor eigen doeleinden verwerkt, handel je waarschijnlijk als verantwoordelijke en dat brengt weer andere plichten met zich mee;
  2. Verwerkers hebben een administratieplicht en moeten – onder andere – een overzicht bijhouden van alle opdrachtgevers waarvoor zij werken en de (categorie) van verwerkingen die zij uitvoeren voor opdrachtgevers;
  3. Verwerkers moeten passende technische en organisatorische beveiligingsmaatregelen nemen met het oog op het risico van de gegevensverwerking voor betrokkenen;
  4. Verwerkers mogen niet langer subverwerkers inschakelen zonder toestemming van hun opdrachtgever. Dat is nu vaak al het geval, maar vanaf mei 2018 staat het ook in de wet;
  5. Verwerkers moeten hun opdrachtgevers direct op de hoogte stellen van een datalek;
  6. Ook voor verwerkers is het soms verplicht om een data privacy officer of functionaris gegevensbescherming (FG) aanstellen. Bijvoorbeeld als er sprake is van verwerking van persoonsgegevens op grote schaal. Bij ESP’s of marketingbureaus die voor veel verschillende opdrachtgevers werken is dat het geval.

Of je nu bij een (online) marketingbureau, een ESP of een websitebouwer werkt, elke dienstverlener die persoonsgegevens verwerkt krijgt te maken met extra verplichtingen onder de AVG. Voor adverteerders met een dienstverlener in zee gaan, zullen ze vermoedelijk veel beter dan nu controleren of deze alles goed op orde heeft. Het voeren van het Privacy Waarborg zal daarbij als een belangrijke indicator dienen. Zorg er dus voor dat je zo snel mogelijk klaar bent voor de nieuwe regelgeving.

In deel 6 van deze serie zetten we op een rij welke invloed de AVG heeft op het vragen van toestemming aan individuen.

Lees hier:

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA

Ook interessant

Lees meer
DDMA |

DDMA Fieldmarketing Monitor 2024: meer Nederlanders staan open voor fieldmarketing voor goede doelen, gepercipieerde frequentie is een aandachtspunt

Het percentage Nederlanders dat openstaat voor fieldmarketing door een commerciële organisatie is gelijk gebleven aan 2022, voor goede doelen is deze groep significant gegroeid. Dit blijkt uit de DDMA Fieldmarketing…
Lees meer
DDMA |

Commissievoorzitter Jan Hendrik Fleury over 20 jaar DDMA

Jan Hendrik is al 12 jaar actief bij DDMA. Eerst als commissielid en inmiddels acht jaar als voorzitter van de commissie Data, Decisions en Engagement. Hoe kijkt hij terug op…
Lees meer
Legal |

Nieuwe collega: Isa Nieuwstad versterkt DDMA legal team

Wij hebben onlangs Isa Nieuwstad aangesteld als junior legal counsel.