Verwerkingsverantwoordelijke versus verwerker

Begripsomschrijving

In dit artikel gaan we gaan we dieper in op twee sleutelbegrippen uit de GDPR waar nog veel verwarring over lijkt te bestaan: de verwerker en de verwerkingsverantwoordelijke.

De GDPR heeft tot doel om een algemeen beschermend kader te vormen voor de verwerking van persoonsgegevens. Er zijn 2 actoren in dat verhaal: enerzijds de personen wiens gegevens verwerkt (verzameld, opgeslagen, gepubliceerd, …) worden en anderzijds de personen en/of organisaties die deze verwerking organiseren en uitvoeren. Hierna zullen we het vooral hebben over diegenen die instaan voor deze verwerking.

Niet iedereen die persoonsgegevens verwerkt is een verwerker en moet hierbij bepaalde principes uit de GDPR naleven. Er moet een onderscheid gemaakt worden tussen twee types van actoren die bij het verwerkingsproces betrokken zijn.

Het onderscheidende kenmerk is wie verantwoordelijk is voor het doel en de middelen van de gegevensverwerking. Deze partij wordt de verwerkingsverantwoordelijke of “controller” genoemd. Het maakt hierbij niet uit of deze partij zelf de gegevens verwerkt of dit uitbesteed aan een derde partij. Als de verwerking wordt uitbesteed en die derde partij heeft zelf geen impact op het doel van de verwerking dan handelt deze partij in de hoedanigheid van verwerker of “processor”.

Een voorbeeld om dit duidelijk te maken. Bedrijf XYZ heeft een 30tal werknemers in dienst. Het bedrijf verzamelt tal van persoonsgegevens van zijn werknemers onder andere voor de loonadministratie. Het bedrijf staat echter niet zelf in voor de loonadministratie en de uitbetaling van de lonen maar doet hiervoor beroep op een sociaal secretariaat. Dat secretariaat ontvangt dus persoonsgegevens en instructies van bedrijf XYZ en zorgt voor de administratie en uitbetaling van de lonen.

De rollen zijn hier zeer duidelijk, het is bedrijf XYZ dat het doel en de middelen bepaalt van de verwerking nl. het voeren van een loonadministratie en het efficiënt organiseren van de uitbetaling van lonen en voldoen van sociale lasten etc. Bedrijf XYZ is dus duidelijk de verwerkingsverantwoordelijke. Het sociaal secretariaat heeft enkel een uitvoerende taak en doet de verwerking voor rekening van het bedrijf XYZ. In deze hoedanigheid is het sociaal secretariaat dus enkel een verwerker.

Belang van het onderscheid

Waarom is dit onderscheid belangrijk? Hoewel de verwerkingsverantwoordelijke en de verwerker beiden onder het toepassingsveld van de GDPR vallen, zijn de verplichtingen voor de verwerkingsverantwoordelijke veel uitgebreider.

De kwalificatie bepaalt dus in grote mate uw verantwoordelijkheid in het kader van GDPR en de maatregelen die u moet nemen. Bent u enkel een verwerker van gegevens dan zijn de risico’s beperkt. Bent u echter de verwerkinsgverantwoordelijke dan zal u ervoor moeten zorgen dat de gehele gegevensverwerking verloopt op een wijze die conform is met de GDPR. Is de gegevensverwerking niet conform dan loopt u het risico om uiteindelijk op te draaien voor de gevolgen en kan het zelfs tot fikse boetes komen.

Elke organisatie die persoonsgegevens verwerkt, zal dus een analyse moeten uitvoeren van de verschillende processen en hierbij de vraag moeten beantwoorden of ze verantwoordelijke dan wel loutere verwerker zijn.

DNS Belgium raadt u aan om minstens volgende bedrijfsprocessen eens grondig te onderzoeken:

Personeelsbeleid

  • Welke gegevens van mijn werknemers hou ik bij, voor welke doeleinden en wie staat me bij voor de verwerking?
  • Welke gegevens hou ik bij van losse medewerkers zoals consultants, vrijwilligers, stageairs, jobstudenten en uitzendkrachten?
  • Welke gegevens hou ik bij van sollicitatiegesprekken en job interviews, voor welke doeleinden en termijn?

Facturatie & boekhouding

  • Welke gegevens van mijn klanten hou ik bij met oog op facturatie en wie staat me bij voor opmaak van facturen?
  • Welke gegevens van mijn klanten en leveranciers hou ik bij voor de boekhouding en wie staat me bij voor het voeren van de boekhouding?

Leveranciers

  • Welke gegevens van mijn leveranciers hou ik bij, voor welke doeleinden en wie staat me bij voor de verwerking (bv. externe beheerder van CRM-applicatie)?
  • Wat is de specifieke relatie met mijn leveranciers? Verwerk ik gegevens voor hen of verwerken zij gegevens voor mij?

Klanten

  • Welke gegevens van mijn klanten hou ik bij om met hen te communiceren over mijn aanbod van diensten/producten? Voor welke doeleinden hou ik deze gegevens bij en wie staat me bij voor de verwerking (extern marketingbureau, aanbieder van mailtoepassingen) ervan?
  • Welke gegevens van mijn klanten hou ik bij voor algemeen klantenbeheer, voor welke andere doeleinden en wie staat me bij voor de verwerking (bv. externe beheerder van CRM-applicatie)?
  • Geef ik gegevens van klanten door aan derde partijen (bv. direct marketing), voor welke doeleinden en wie staat me bij voor de verwerking?

Systeembeheer

  • Welke persoonsgegevens worden gelogd of verwerkt door mijn informaticasystemen en softwareapplicaties, voor welke doeleinden en wie staat me bij voor de verwerking?
  • Welke persoonsgegevens worden gelogd of verwerkt door externe systemen, toepassingen en/of applicaties waar ik gebruik van maak, voor welke doeleinden en wie staat in voor deze verwerking?

Begrippen toegepast op uw relatie met DNS Belgium

Indien u als registrar samenwerkt met DNS Belgium dan heeft u een overeenkomst met ons hiervoor afgesloten. Ook in het kader van deze samenwerking worden persoonsgegevens verwerkt en is het dus belangrijk om te analyseren welke rol beide partijen hierin spelen.

Bij elke nieuwe registratie, update, transfer van een .be-domeinnaam is een verwerking van (persoons)gegevens gemoeid. U zou kunnen oordelen dat het uw klant is en dat u dan ook de verantwoordelijke voor de verwerking bent maar dat is maar gedeeltelijk zo.

In de overeenkomst tussen u en DNS Belgium wordt verwezen naar technische regels die van toepassing zijn op het .be-registratieproces. Deze technische regels beschrijven ook welke velden met gegevens noodzakelijk zijn om succesvol bv. een registrant contact handle aan te maken op ons registratiesysteem. Hoewel u dus persoonsgegevens verzamelt bij de klant, is het DNS Belgium die het doel en de middelen van de gegevensverwerking bepaalt. In deze is DNS Belgium dus de verwerkingsverantwoordelijke en neemt u de taak op van loutere verwerker.

De GDPR voorziet dat de verwerkingsverantwoordelijke met zijn verwerker(s) een zogenaamde verwerkingsovereenkomst moet afsluiten. Daarom heeft DNS Belgium eind vorig jaar een nieuwe contractupdate uitgestuurd. Deze update had als uitsluitend doel om de zogenaamde verwerkingsovereenkomst als een annex aan uw registrar overeenkomst toe te voegen.

Dit is slechts de helft van het verhaal! In realiteit bent u veel meer dan de loutere verwerker van gegevens in opdracht van DNS Belgium. Voor het registreren en de WHOIS is het duidelijk. DNS Belgium is verantwoordelijk voor de verwerking en u bent louter verwerker.

Stel u eens voor dat DNS Belgium geen technische voorschriften zou opleggen. Zou u dan die persoonsgegevens van uw klanten niet verwerken? Het antwoord is neen want u heeft die gegevens zelf ook nodig om het contract met uw klant te kunnen uitvoeren. U heeft immers zaken als naam, adres, e-mailadres, btw-nummer, enz. nodig voor het opstellen van de factuur voor geleverde diensten. U heeft een kredietkaartnummer nodig voor het verwerken van betalingen vanwege uw klant. U wenst zijn e-mailadres en telefoonnummer bij te houden om uw klant vlot te kunnen bereiken in geval van problemen.

Voor al deze vormen van gegevensverwerking bent u diegene die het doel en de middelen bepaalt. U bent met andere woorden de verwerkingsverantwoordelijke. Juridisch bent u voor een quasi identieke set aan persoonsgegevens tegelijk verwerker en verwerkingsverantwoordelijke.

Indien u werkt met resellers dan voegt dit nog een extra dimensie toe aan het gehele verhaal. In de relatie reseller-registrar-DNS Belgium ligt u in het midden van het bed. DNS Belgium blijft nog steeds de verantwoordelijke voor de verwerking terwijl u en de reseller loutere verwerkers zijn. DNS Belgium heeft echter geen contractuele band met uw reseller.

Ons advies is dan ook om tussen u en uw resellers een verwerkingsovereenkomst af te sluiten die het verlengde is van diegene die in uw registrarovereenkomst staat. Zo vermijdt u dat u aansprakelijk wordt gesteld voor het eventuele wangedrag van één van uw resellers. Daarenboven hebt u de mogelijkheid in handen om het contract met dergelijke partijen snel te beëindigen.

Omgekeerd zou een reseller ook met u zo een verwerkingsovereenkomst aan moeten gaan. In tegenstelling tot de rechtstreekse relatie tussen u en DNS Belgium gaat het hier immers niet over uw klanten maar over de klanten van uw reseller. De reseller is de verwerkingsverantwoordelijke net zoals u dat bent voor uw klanten. In de relatie tot de klanten van de reseller vervult u dan enkel de rol van verwerker.  

Ons advies is het volgende: Analyseer vooral de contractuele relaties waarbij sprake is van verwerking van gegevens goed. In hoofdzaak gaat het dan om uw contracten met registry operatoren en eventueel ICANN, contracten met datacenters, hostingbedrijven en ISP’s, contracten met resellers of andere subcontractors, contracten met andere registrars waarmee u samenwerkt en uw data escrow diensten 

ICANN

Internet Corporation for Assigned Names and Numbers, een vzw die wereldwijd verantwoordelijk is voor het beheer van domeinnamen.

WHOIS

Zoekopdracht waarbij u informatie krijgt over de domeinnaamhouder, de registrar, de nameserver en de status van de domeinnaam.

registrar

Partij die domeinnamen registreert voor bedrijven, instellingen of personen. Naast het ‘verkopen’ van webadressen, kunt u bij een registrar vaak ook terecht voor andere services zoals hosting, webdesign enz. 

registry

Organisatie die domeinnamen beheert. Registries beheren het register van domeinnamen binnen één (of meerdere) domeinextensie(s) zoals .be, .com, .org, .vlaanderen, enz.

registrant

De domeinnaamhouder, de persoon die het gebruiksrecht op een domeinnaam heeft. 

Domeinnaam

een uniek adres voor een website. Een domeinnaam staat eigenlijk voor een IP-adres (reeks cijfers). Omdat cijferreeksen moeilijk te onthouden zijn, worden ze omgezet in domeinnamen . Een domeinnaam bestaat uit minstens twee gedeeltes, gescheiden door een punt.

DNS

Domain Name System (Domein Naam Systeem) of Domain name server. Het wereldwijde DNS is het protocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd.