Rolverdeling verschillende partijen: verschil tussen versies
Geen bewerkingssamenvatting |
Geen bewerkingssamenvatting |
||
| (2 tussenliggende versies door dezelfde gebruiker niet weergegeven) | |||
| Regel 1: | Regel 1: | ||
Bij het verwerken van persoonsgegevens kunnen verschillende partijen betrokken zijn. Het gaat hierbij om de verwerkingsverantwoordelijke, de verwerker en eventuele subverwerkers. Maar het kan ook gaan om | Bij het verwerken van persoonsgegevens kunnen verschillende partijen betrokken zijn. Het gaat hierbij om de verwerkingsverantwoordelijke, de verwerker en eventuele subverwerkers. Maar het kan ook gaan om betrokkenen. | ||
== Verwerkingsverantwoordelijke == | |||
Een '''verwerkingsverantwoordelijke''' is degene die 'de baas is over de persoonsgegevens'. Het is de organisatie die bepaalt waarom persoonsgegevens worden verzameld en wat ermee gebeurt. Dit kan een bedrijf zijn, maar ook een overheidsinstantie of een vereniging. | |||
Denk bijvoorbeeld aan een webwinkel die klantgegevens verzamelt om bestellingen te kunnen leveren. De webwinkel bepaalt welke gegevens ze nodig hebben (zoals naam en adres) en wat ze ermee doen (zoals het versturen van pakketten). De webwinkel is dan de verwerkingsverantwoordelijke. | |||
Als verwerkingsverantwoordelijke heb je belangrijke taken en plichten. Je bent namelijk '''eindverantwoordelijk''' voor een goede omgang met persoonsgegevens. Dit betekent dat je bepaalt: | |||
'''[[ | * Welke persoonsgegevens je verzamelt; | ||
* Waarom je deze gegevens nodig hebt; | |||
* Hoe lang je de gegevens bewaart; | |||
* Wie toegang krijgt tot de gegevens; | |||
* Hoe de gegevens worden beveiligd. | |||
Daarnaast moet je als verwerkingsverantwoordelijke kunnen laten zien dat je de regels uit de AVG volgt. Dit heet de '''verantwoordingsplicht'''. Het betekent dat je onder meer: | |||
* Een privacyverklaring opstelt; | |||
* Aantoont dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een verwerking waar je toestemming voor nodig hebt; | |||
* Een datalekregister bijhoudt; | |||
* Een verwerkingsregister bijhoudt; | |||
* Een Data Protection Impact Assessment (DPIA) uitvoert bij gegevensverwerkingen met een hoog privacyrisico; | |||
* Goed onderbouwt waarom je al dan niet een Functionaris Gegevensbescherming (FG) hebt aangesteld wanneer onduidelijk is of je verplicht bent om een FG aan te stellen. | |||
== Verwerker == | |||
Een instelling, organisatie of onderzoeker kan ook optreden als '''verwerker.''' Een verwerker verwerkt persoonsgegevens in opdracht van een de verwerkingsverantwoordelijke. Je kunt het vergelijken met een postbode: die bezorgt brieven volgens de instructies van het postbedrijf, maar bepaalt niet zelf wat ermee gebeurt. Het is belangrijk om alle afspraken tussen verwerkingsverantwoordelijke(n) en verwerker(s) of tussen verwerker(s) en subverwerkers vast te leggen in een overeenkomst, zoals in een [[verwerkersovereenkomst]]. | |||
Je bent een verwerker als je: | |||
* Persoonsgegevens verwerkt in opdracht van een verwerkingsverantwoordelijke; | |||
* Alleen doet wat de opdrachtgever vraagt; | |||
* De gegevens niet voor eigen doeleinden gebruikt; | |||
* Geen belangrijke beslissingen neemt over het gebruik van de gegevens. | |||
Een voorbeeld van een verwerker is bijvoorbeeld het bedrijf aan wie je personeelsadministratie uitbesteedt. Om als verwerker gekwalificeerd te kunnen worden, zijn er twee criteria waaraan een partij moet voldoen. Allereerst moet de partij een afzonderlijke entiteit zijn ten opzichte van de verwerkingsverantwoordelijke. Daarnaast moet de verwerker persoonsgegevens verwerken ten behoeve van de verwerkingsverantwoordelijke. Dit houdt in dat de verwerker enkel op basis van instructies van de verwerkingsverantwoordelijke mag handelen, waarbij er wel wat ruimte voor de verwerker is om zelf de meest passende technische en organisatorische middelen te kiezen om de gegevens te verwerken. In ieder geval mag de verwerker niet zelf het doel en de middelen van de verwerking vaststellen. | |||
== Subverwerker == | |||
Een '''subverwerker''' is een partij die door een verwerker wordt ingeschakeld om te helpen bij het verwerken van persoonsgegevens. Je kunt het zien als een onderaannemer: de verwerker besteedt een deel van het werk uit aan een andere partij. | |||
Stel je voor: | |||
# Een school (verwerkingsverantwoordelijke) huurt een administratiekantoor in om de leerlingadministratie te verzorgen | |||
# Het administratiekantoor (verwerker) gebruikt voor de opslag van gegevens een clouddienst | |||
# Die clouddienst is dan de subverwerker | |||
In dit voorbeeld: | |||
* De school bepaalt wat er met de gegevens gebeurt | |||
* Het administratiekantoor voert de opdracht uit | |||
* De clouddienst zorgt alleen voor de opslag | |||
== Betrokkene == | |||
'''Betrokkenen''' zijn de geïdentificeerde of identificeerbare natuurlijk persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking hebben. Dit zijn bijvoorbeeld klanten, werknemers of websitebezoekers. De AVG heeft mede als doel dat de betrokkenen goed worden beschermd. Om de betrokkene te beschermen zijn er in de AVG een aantal [[Rechten van betrokkenen|rechten]] opgenomen welke de betrokkenen tegen de verwerkingsverantwoordelijken kunnen uitoefenen. Zie voor meer informatie de pagina [[Betrokkenen]]. | |||
Huidige versie van 19 nov 2024 om 17:54
Bij het verwerken van persoonsgegevens kunnen verschillende partijen betrokken zijn. Het gaat hierbij om de verwerkingsverantwoordelijke, de verwerker en eventuele subverwerkers. Maar het kan ook gaan om betrokkenen.
Verwerkingsverantwoordelijke
Een verwerkingsverantwoordelijke is degene die 'de baas is over de persoonsgegevens'. Het is de organisatie die bepaalt waarom persoonsgegevens worden verzameld en wat ermee gebeurt. Dit kan een bedrijf zijn, maar ook een overheidsinstantie of een vereniging.
Denk bijvoorbeeld aan een webwinkel die klantgegevens verzamelt om bestellingen te kunnen leveren. De webwinkel bepaalt welke gegevens ze nodig hebben (zoals naam en adres) en wat ze ermee doen (zoals het versturen van pakketten). De webwinkel is dan de verwerkingsverantwoordelijke.
Als verwerkingsverantwoordelijke heb je belangrijke taken en plichten. Je bent namelijk eindverantwoordelijk voor een goede omgang met persoonsgegevens. Dit betekent dat je bepaalt:
- Welke persoonsgegevens je verzamelt;
- Waarom je deze gegevens nodig hebt;
- Hoe lang je de gegevens bewaart;
- Wie toegang krijgt tot de gegevens;
- Hoe de gegevens worden beveiligd.
Daarnaast moet je als verwerkingsverantwoordelijke kunnen laten zien dat je de regels uit de AVG volgt. Dit heet de verantwoordingsplicht. Het betekent dat je onder meer:
- Een privacyverklaring opstelt;
- Aantoont dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een verwerking waar je toestemming voor nodig hebt;
- Een datalekregister bijhoudt;
- Een verwerkingsregister bijhoudt;
- Een Data Protection Impact Assessment (DPIA) uitvoert bij gegevensverwerkingen met een hoog privacyrisico;
- Goed onderbouwt waarom je al dan niet een Functionaris Gegevensbescherming (FG) hebt aangesteld wanneer onduidelijk is of je verplicht bent om een FG aan te stellen.
Verwerker
Een instelling, organisatie of onderzoeker kan ook optreden als verwerker. Een verwerker verwerkt persoonsgegevens in opdracht van een de verwerkingsverantwoordelijke. Je kunt het vergelijken met een postbode: die bezorgt brieven volgens de instructies van het postbedrijf, maar bepaalt niet zelf wat ermee gebeurt. Het is belangrijk om alle afspraken tussen verwerkingsverantwoordelijke(n) en verwerker(s) of tussen verwerker(s) en subverwerkers vast te leggen in een overeenkomst, zoals in een verwerkersovereenkomst.
Je bent een verwerker als je:
- Persoonsgegevens verwerkt in opdracht van een verwerkingsverantwoordelijke;
- Alleen doet wat de opdrachtgever vraagt;
- De gegevens niet voor eigen doeleinden gebruikt;
- Geen belangrijke beslissingen neemt over het gebruik van de gegevens.
Een voorbeeld van een verwerker is bijvoorbeeld het bedrijf aan wie je personeelsadministratie uitbesteedt. Om als verwerker gekwalificeerd te kunnen worden, zijn er twee criteria waaraan een partij moet voldoen. Allereerst moet de partij een afzonderlijke entiteit zijn ten opzichte van de verwerkingsverantwoordelijke. Daarnaast moet de verwerker persoonsgegevens verwerken ten behoeve van de verwerkingsverantwoordelijke. Dit houdt in dat de verwerker enkel op basis van instructies van de verwerkingsverantwoordelijke mag handelen, waarbij er wel wat ruimte voor de verwerker is om zelf de meest passende technische en organisatorische middelen te kiezen om de gegevens te verwerken. In ieder geval mag de verwerker niet zelf het doel en de middelen van de verwerking vaststellen.
Subverwerker
Een subverwerker is een partij die door een verwerker wordt ingeschakeld om te helpen bij het verwerken van persoonsgegevens. Je kunt het zien als een onderaannemer: de verwerker besteedt een deel van het werk uit aan een andere partij.
Stel je voor:
- Een school (verwerkingsverantwoordelijke) huurt een administratiekantoor in om de leerlingadministratie te verzorgen
- Het administratiekantoor (verwerker) gebruikt voor de opslag van gegevens een clouddienst
- Die clouddienst is dan de subverwerker
In dit voorbeeld:
- De school bepaalt wat er met de gegevens gebeurt
- Het administratiekantoor voert de opdracht uit
- De clouddienst zorgt alleen voor de opslag
Betrokkene
Betrokkenen zijn de geïdentificeerde of identificeerbare natuurlijk persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking hebben. Dit zijn bijvoorbeeld klanten, werknemers of websitebezoekers. De AVG heeft mede als doel dat de betrokkenen goed worden beschermd. Om de betrokkene te beschermen zijn er in de AVG een aantal rechten opgenomen welke de betrokkenen tegen de verwerkingsverantwoordelijken kunnen uitoefenen. Zie voor meer informatie de pagina Betrokkenen.