GDPR: Gezamenlijke verwerkingsverantwoordelijken

Geplaatst op door

De GDPR kent het begrip verwerkingsverantwoordelijke.

Nochtans is het in sommige situaties niet altijd duidelijk wie er verwerkingsverantwoordelijke is.

Dit komt over het algemeen voor bij organisaties die werken met een heleboel “bevriende” instanties en/of instanties die onder dezelfde koepel of zuil vallen, zoals je dit soms vindt bij VZW’s.

Dergelijke eco-systemen van organisaties hebben niet altijd een formele band met elkaar, zoals men dit doorgaans vindt bij onafhankelijke bedrijven die op “arm’s length” met elkaar handelen en omgaan.

Het begrip verwerkingsverantwoordelijke

De GDPR definieert het begrip verwerkingsverantwoordelijke, of in het Engels controller.

Kort door de bocht gaat het om een natuurlijke persoon, een rechtspersoon, een overheidsinstantie, een dienst of een orgaan dat alleen of samen met andere(n) het doel en de middelen voor de verwerking vaststelt.

Het volstaat, volgens het EHJ, dat een persoon of instantie voor eigen doeleinden invloed uitoefent op de verwerking van persoonsgegevens en daardoor betrokken is bij de vaststelling van het doel en de middelen voor de verwerking.

De verwerkingsverantwoordelijke kan soms ook expliciet zijn bepaald door een lidstatelijke wettekst of het Unierecht zelf. Dit is in België bijvoorbeeld het geval voor sommige domeinen van de sociale zekerheid.

Belang van het begrip

Het belang te weten wie de verwerkingsverantwoordelijke is mag men niet onderschatten, omdat de verwerkingsverantwoordelijke de instantie is die aan een heleboel verplichtingen is onderworpen.

Hierover later meer.

Bovendien heeft deze ruime definitie die door de GDPR wordt gehanteerd tot doel om de betrokkenen meer waarborgen te geven dat zijn of haar gegevens volledig worden beschermd (zie hiervoor o.a. de beslissingen van het EHJ).

Gezamenlijke verwerkingsverantwoordelijken

Wanneer echter meerdere instanties gezamenlijk de doeleinden en middelen van de verwerking bepalen, dan zijn zij gezamenlijke verwerkingsverantwoordelijken.

Ieder van deze personen of instanties beantwoordt hier zelf aan de definitie van verwerkingsverantwoordelijke in de zin van de GDPR, en vormen dan samen als groep de groep “gezamenlijke verwerkingsverantwoordelijken”.

Belang van het begrip

Het is niet enkel voor de verwerkingsverantwoordelijke zelf belangrijk te weten of men te maken heeft met meerdere verwerkingsverantwoordelijken, maar ook voor de betrokkene zelf.

Indien er meerdere verwerkingsverantwoordelijken zijn, dan dient dit duidelijk op schrift te worden gesteld, zodat iedere verwerkingsverantwoordelijke weet wat hun respectievelijke verantwoordelijkheden en verplichtingen zijn, o.a. ten overstaan van de betrokkene.

De inhoud van die regeling wordt ook kenbaar gemaakt aan de betrokkenen zelf.

De inhoud van de regeling tussen meerdere verwerkingsverantwoordelijken belet de betrokkenen niet om zijn rechten uit te oefenen jegens ieder van deze verwerkingsverantwoordelijken.

Verantwoordelijkheid

Zoals in de GDPR opgesomd hebben verwerkingsverantwoordelijken o.a. de volgende verplichtingen:

  • passende technische en organisatorische maatregelen nemen om het beschermingsniveau te kunnen garanderen dat door de GDPR wordt voorzien;
  • enkel werken met verwerkers die afdoende garanties kunnen bieden dat zij in staat zijn de bepalingen van de GDPR na te leven;
  • bijhouden van alle nodige documentatie, w.o. een verwerkingsregister;
  • melden van inbreuken i.v.m. persoonsgegevens;
  • uitvoeren van een DPIA;

Het feit dat men te maken heeft met gezamenlijke verwerkingsverantwoordelijken betekent echter niet dat zij allemaal dezelfde of een gelijkwaardige verantwoordelijkheid hebben wanneer zij bij dezelfde verwerking van persoonsgegevens betrokken zijn.

Het is echter ook niet verplicht dat alle verwerkingsverantwoordelijken van de groep “gezamenlijke verwerkingsverantwoordelijken” toegang tot de verwerkte persoonsgegevens hebben.

De betrokkenheid van ieder van deze verwerkingsverantwoordelijken hoeft immers ook niet gelijk of gelijkwaardig te zijn; ze kan verschillende vormen aannemen, zoals bijvoorbeeld convergerende elkaar aanvulldende beslissingen die ieder een invloed hebben op de vaststelling van het doel en de middelen van de verwerking.

Bijvoorbeeld verwerkingsverantwoordelijke A bepaalt dat een online invulformulier moet vragen naar naam, voornaam, geboortedatum en adres van de bezoeker, terwijl verwerkingsverantwoordelijk B bepaalt dat men het IP-adres, het type browser en besturingssysteem logt, zodat men een spoor heeft van waar de bezoeker het invulformulier heeft ingevuld.

De mate van verantwoordelijkheid van ieder van deze verwerkingsverantwoordelijken van de groep “gezamenlijke verwerkingsverantwoordelijken” zal immers moeten worden bepaald aan de hand van alle relevante elementen en omstandigheden van ieder specifiek geval.

Om die redenen is het enorm belangrijk dat wanneer er sprake is van “gezamenlijke verwerkingsverantwoordelijken” dit duidelijk wordt gedocumenteerd. Helaas gebeurt dit niet altijd, met alle gevolgen vandien.

Bloep, 17 september 2025.