Article

Back to the basics: controller or processor under data protection law?

By
Eliëtte & Vonne
on
December 5, 2019

Vonne Laan and Eliëtte Vaal wrote an overview article which can be used as easy point of reference in practice. It discusses two concepts under data protection law that have been endlessly debated: that of “controller” and “processor”. How workable are these concepts nowadays? What are the complications in practice and how can they be solved? Read more about this in our article “Back to the basics: Verwerkingsverantwoordelijke of verwerker onder de AVG?”.

Dit artikel is initieel gepubliceerd in het Tijdschrift voor Internetrecht (TvIR), Nr. 5 oktober 2019.

1 Inleiding

De Algemene Verordening Gegevensbescherming ((EU) 2016/679; AVG)[1] onderscheidt de verwerker en de (gezamenlijke) verwerkingsverantwoordelijke als partijen die persoonsgegevens verwerken. Dit onderscheid in privacypositie is essentieel voor de toepasselijkheid van de AVG. Het is bepalend voor welke verplichtingen van de AVG een partij die persoonsgegevens verwerkt moet naleven en bij wie betrokkenen hun rechten kunnen uitoefenen. Ook is de privacypositie relevant voor het vaststellen van de omvang van aansprakelijkheid op grond van de AVG en de mogelijkheden voor handhaving door de bevoegde autoriteiten.[2] Maar hoe werkt dit in de praktijk, met name waar het gegevensuitwisseling via het internet betreft?

Via het internet worden op grote schaal persoonsgegevens verwerkt door diverse partijen. Dan kan het voor partijen onduidelijk zijn welke privacypositie zij innemen. Dat komt onder andere door het ontstaan van steeds complexere samenwerkingsvormen met een toenemend aantal deelnemers en verschillende niveaus van autonomie en verantwoordelijkheden. Denk bijvoorbeeld aan Internet-of-Things toepassingen en aan blockchain toepassingen via internet (met Bitcoin als het bekendste voorbeeld), maar ook aan ‘standaard’ gegevensuitwisselingen via het internet zoals bijvoorbeeld bij het plaatsen van online advertenties (al dan niet via behavioral targeting), en het integreren (‘embedden’) van social media plugins. Het abstracte juridische kader blijkt soms niet goed toepasbaar op deze situaties in de praktijk. Om daaraan tegemoet te komen, hebben diverse Europese privacytoezichthouders nadere uitleg gegeven. Al in 2010 publiceerden de Europese privacytoezichthouders zoals nu verenigd in de European Data Protection Board (EDPB), en destijds in de Artikel 29-Werkgroep (WP29) een advies over toepassing van de begrippen verantwoordelijke en verwerker.[3] Maar in hoeverre bieden deze richtsnoeren nu echt praktische handvatten en sluiten zij aan bij de problematiek hieromtrent in de praktijk? En hoe verhoudt dit zich tot het bepalen van de privacypositie van partijen door het Hof van Justitie van de Europese Unie (HvJEU), de Nederlandse overheid en de Autoriteit Persoonsgegevens (AP)?

In dit artikel gaan wij in op deze vragen. Allereerst bespreken we kort de wettelijke definities van verwerkingsverantwoordelijke en verwerker (paragraaf 2), gevolgd door een bespreking van de uitleg die aan de begrippen is gegeven door de Europese privacytoezichthouders (paragraaf 3).[4] Vervolgens benoemen we de paradoxen en complicaties in de praktijk bij toepassing van de benadering van de Europese privacytoezichthouders (paragraaf 4) en vergelijken we de benadering van de Europese privacytoezichthouders met de uitleg door het Hof van Justitie van de Europese Unie (HvJEU) (paragraaf 5), de Nederlandse overheid en de AP (paragraaf 6). We sluiten af met een evaluatie en vooruitblik (paragraaf 7).

2 Wettelijke definities privacypositie

2.1 Historie

Het begrip verantwoordelijke stamt uit het Verdrag van Straatsburg van de Raad van Europa uit 1981 (Dataprotectieverdrag) en was aanvankelijk gekoppeld aan de verantwoordelijkheid voor een fysiek bestand.[5] In de Europese Privacyrichtlijn uit 1995 (95/46/EC; Privacyrichtlijn) heeft het begrip haar huidige rol en betekenis gekregen.[6] Ook is met de Privacyrichtlijn het begrip ‘verwerker’ en de mogelijkheid van gezamenlijke verantwoordelijkheid geïntroduceerd. Onder de AVG is in de Nederlandse vertaling van de AVG het begrip “voor de verwerking verantwoordelijke” uit de Privacyrichtlijn (in de vroegere Wet bescherming persoonsgegevens (Wbp) kortweg “verantwoordelijke” genoemd) vervangen door “verwerkingsverantwoordelijke”, en het begrip “bewerker” door “verwerker”.[7] De betekenis van de begrippen is in essentie echter ongewijzigd. De definities blijven met name in de Engelse versies nagenoeg woordelijk gelijk. In navolgende gebruiken wij daarom in het kader van eenduidigheid steeds de term ‘verwerkingsverantwoordelijke’ in plaats van ‘verantwoordelijke’, tenzij wordt geciteerd.

2.2 Definities AVG

De AVG definieert de verwerkingsverantwoordelijke als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, die/dat – alleen of samen met anderen – het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerkingsverantwoordelijke of de criteria voor het bepalen van de verwerkingsverantwoordelijke kunnen bij wet zijn bepaald.[8] Wanneer meerdere verwerkingsverantwoordelijken gezamenlijk zeggenschap hebben over het doel en de middelen van de verwerking, zijn zij gezamenlijke verwerkingsverantwoordelijken.[9] Onder de AVG is de verwerkingsverantwoordelijke hoofdelijk aansprakelijk voor naleving van de AVG, die de verwerkingsverantwoordelijke onder meer verplicht tot naleving van de privacybeginselen.[10] Ook is de verwerkingsverantwoordelijke de partij tot wie betrokkenen zich kunnen richten om hun privacyrechten uit te oefenen.[11]

Het bestaansrecht van een verwerker is afhankelijk van de beslissing van de verwerkingsverantwoordelijke, die kan besluiten om het verwerken van persoonsgegevens onder zijn verantwoordelijkheid uit te besteden aan een verwerker. De AVG definieert de verwerker als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerkingsverantwoordelijke mag alleen verwerkers inschakelen die voldoende waarborgen bieden. Als een verwerker wordt ingeschakeld, verplicht de AVG daarbij tot het sluiten van een verwerkersovereenkomst die voldoet aan de strikte voorwaarden.[12] Zo mag de verwerker uitsluitend persoonsgegevens verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij hij een wettelijke verplichting heeft die daartoe verplicht. De verwerker wordt zelf verwerkingsverantwoordelijke als hij toch zelf de doeleinden en middelen van de verwerking bepaalt.[13] Nieuw is verder onder de AVG dat meer verplichtingen rechtstreeks tot de verwerker zijn gericht. Twee voorbeelden daarvan zijn de verplichting om een verwerkingsregister bij te houden en de verwerkingsverantwoordelijke te informeren in geval van een datalek.[14]

3 Bepaling privacypositie volgens Europese privacytoezichthouders

Voor de interpretatie van de begrippen verwerkingsverantwoordelijke en verwerker merken wij dat de WP29-opinie uit 2010 (WP169) in de praktijk nog altijd leidend is, aangezien dit het gezamenlijk standpunt van de gezamenlijke Europese privacytoezichthouders op privacygebied weergeeft. Ook in het kader van mogelijke handhaving wordt daarom vooral hierop voorgesorteerd.[15] Hoewel WP169 niet officieel is aangenomen door de EDPB[16], maken wij daarbij uit de recente verwijzingen van de EDPB naar WP169 op dat zij de opinie nog steeds onderschrijft, met dien verstande dat de EDPB wel een update van WP169 heeft aangekondigd.[17]

Voorafgaand aan de vraag naar de kwalificatie in termen van gegevensbeschermingsrecht, met andere woorden de privacypositie van een partij, kan de vraag worden gesteld of een partij überhaupt een verwerker of verwerkingsverantwoordelijke is. Aan personen die onder het rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker vallen, komt geen afzonderlijke privacypositie toe.[18] Zij worden in de regel gezien als ‘onderdeel’ van de verwerker of verwerkingsverantwoordelijke.[19] In Nederland wordt dit sinds de Wbp ook wel de regel van “intern beheer” genoemd.[20]

Slechts waar geen sprake is van intern beheer, dient de privacypositie van een partij te worden vastgesteld. WP169 noemt ‘verwerkingsverantwoordelijke’ als een onafhankelijk, autonoom communautair begrip.[21] Het begrip is functioneel, in de zin dat het bedoeld is om verantwoordelijkheden te alloceren waar feitelijke invloed bestaat.[22] Met het oog op de effectiviteit en ter waarborging van de voorspelbaarheid van allocatie van verantwoordelijkheid beveelt de WP29 daarbij een pragmatische benadering aan. In dat kader onderscheidt zij drie situaties om te bepalen of een partij als verwerkingsverantwoordelijke kwalificeert:[23]

  1. Privacypositie volgt uit de wet: de verwerkingsverantwoordelijkheid vloeit voort uit een uitdrukkelijke juridische bevoegdheid.[24] In deze situatie vloeit de positie van een partij als verwerkingsverantwoordelijke voort uit communautaire of nationale wetgeving. Dit kan expliciet bij wet zijn bepaald, maar kan ook rechtstreeks volgen uit de taken en bevoegdheden die in een wet aan een partij zijn opgelegd. Alhoewel niet expliciet benoemd in deze opinie door de WP29, kan overigens logischerwijs ook de positie van een partij als verwerker volgen uit de wet.[25]
  2. Privacypositie volgt uit impliciete bevoegdheid: de verwerkingsverantwoordelijkheid vloeit voort uit een impliciete bevoegdheid als volgens gangbare juridische regels en de maatstaven die gelden in het maatschappelijke verkeer de verwerkingsverantwoordelijkheid toekomt aan een partij.[26] De WP29 noemt in dit kader als voorbeelden een werkgever die personeelsgegevens verwerkt, een uitgever die abonneegegevens verwerkt en een vereniging die ledengegevens verwerkt.[27]
  3. Privacypositie volgt uit feitelijke invloed: in dit geval wordt bepaald of een partij als verwerkingsverantwoordelijke kwalificeert op basis van feitelijke invloed die deze partij uitoefent.[28] Hierbij wordt in de eerste plaats gekeken naar de contractuele verhoudingen tussen de betrokken partijen. Alhoewel deze contractuele bepalingen een relevant aanknopingspunt vormen, zijn zij niet doorslaggevend.[29] De WP29 overweegt dat bij twijfel ook gekeken moet worden naar andere feiten die nuttig kunnen zijn om vast te stellen wie voor de verwerking verantwoordelijk is.[30] Het lijkt er dus op dat de WP29 in principe een initiële beoordeling van de contractuele verhoudingen voorstaat, en dat slechts in geval van contra-indicaties een nadere analyse volgt. En alhoewel de WP29 dit niet noemt, achten wij een nadere analyse ook noodzakelijk wanneer er sprake is van contra-indicaties op grond waarvan kan worden getwijfeld aan of het bepalen van de privacypositie op basis van de impliciete bevoegdheid (situatie 2 zoals hierboven beschreven) van partij(en) wel in lijn is met de praktijk.

Indien een nadere analyse noodzakelijk is, hangt het af van de situatie welke verdere omstandigheden relevant zijn voor het bepalen van de privacypositie. Voorbeelden die de WP29 in dit kader noemt zijn: “de mate van feitelijke zeggenschap van een partij, het beeld dat aan betrokkenen wordt geschetst en redelijke verwachtingen van betrokkenen op basis van deze zichtbaarheid […]”.[31] Ook acht de WP29 het relevant of een partij de verwerking heeft geïnitieerd of bepaalt waarom de verwerking plaatsvindt.[32] Beide hebben betrekking op het vaststellen van het doel voor de verwerking. Ten aanzien van de middelen voor de verwerking, maakt de WP29 onderscheidt tussen ‘wezenlijke’ en ‘niet wezenlijke’ aspecten.[33] Wezenlijke aspecten van de middelen zijn: welke persoonsgegevens worden verwerkt, wie toegang krijgt tot de persoonsgegevens en wanneer de persoonsgegevens worden gewist.[34] Deze wezenlijke aspecten van de verwerking worden bepaald door de verwerkingsverantwoordelijke. Als niet wezenlijke aspecten van de verwerking noemt de WP29 de technische en organisatorische middelen voor de verwerking.[35] Deze aspecten kunnen (ook) door de verwerker worden bepaald.

Verder noemt de WP29 nog de volgende aspecten die zij relevant acht bij het bepalen van de privacypositie van partijen. De mate van gedetailleerdheid van de instructies c.q. uitvoerigheid van de opdracht: hoe minder spelingsruimte een opdrachtnemer heeft hoe eerder zij als verwerker zal kwalificeren.[36] De mate waarin de opdrachtgever toezicht uitoefent op de uitvoering van de opdracht door de opdrachtnemer.[37] Verdergaand toezicht is een aanwijzing dat alleen de opdrachtgever als verwerkingsverantwoordelijke optreedt, en de opdrachtnemer als verwerker. De zichtbaarheid danwel het beeld dat de verwerkingsverantwoordelijke bij de betrokkene doet ontstaan, en de verwachtingen van de betrokkenen op grond daarvan.[38] Ook de traditionele rol en de professionele deskundigheid van een partij kunnen (mede) bepalend zijn voor allocatie van de privacyposities.[39] Tot slot noemt de WP29 nog expliciet dat ook de autonome beslisbevoegdheid van een partij van invloed is op diens privacypositie.[40]

De voorgaande interpretatie van de benadering van de WP29 voor het bepalen van de privacypositie van partijen, is weergegeven in het “Stroomschema bepaling privacypositie WP169”.

De WP29 beoogde met WP169 onder meer was om de voorspelbaarheid van het bepalen van de privacypositie te vergroten. Het is het de vraag of de WP29 daarin is geslaagd. In het navolgende wordt aan de hand van de paradoxen en complicaties in de praktijk besproken in hoeverre de richtsnoeren in WP169 nu echt praktische handvatten bevatten.

Figuur 1: Stroomschema bepaling privacyposit ie WP169

4 Paradoxen en complicaties bij toepassing WP169

Wanneer de benadering van WP169 wordt gevolgd bij het bepalen van de privacypositie van partijen, kunnen zich diverse paradoxen en complicaties voordoen. In de eerste plaats rijst de vraag: hoe diepgravend dient de analyse van de situatie te zijn alvorens de privacypositie van een partij kan worden bepaald. De WP29 is daar niet volstrekt eenduidig over. Eerst wordt gesteld dat “Wanneer er geen aanleiding bestaat om te betwijfelen of hiermee de werkelijkheid op een juiste wijze wordt weergegeven, is er niets op tegen om aan te sluiten bij de contractbepalingen”, en “Bij twijfel kunnen naast de bepalingen van een contract ook andere feiten nuttig zijn om vast te stellen wie voor de verwerking verantwoordelijk is […]”.[41] Het kunnen bepalen of er dergelijke ‘contra-indicaties’ zijn, vereist alleen een nadere analyse. Nog onduidelijker wordt het onderscheid tussen de initiële en nadere analyse, doordat verderop in de opinie het volgende is te lezen: “Voor categorie 3 [lees: situatie 3 zoals hiervoor geduid] is [per definitie?] een diepgaande analyse vereist […]”, en: “In dit verband kunnen contractbepalingen ook nuttig zijn bij het beoordelen van een gezamenlijke verantwoordelijkheid. Zij dienen echter altijd [onderstreping toegevoegd] te worden getoetst aan de feitelijke omstandigheden van de relatie tussen de partijen”.[42]

Maar zelfs indien een nadere analyse wordt gemaakt, is het niet altijd duidelijk tot wat voor toedeling van de privacyposities dit dient te leiden en welke factoren doorslaggevend zijn. Denk hier bijvoorbeeld aan een de situatie waarbij een ingewikkeld speelveld aan betrokken partijen – bijvoorbeeld bij blockchain toepassingen – leidt tot een complexe allocatie van (dubbele) privacyposities. Dat kan in de weg staan aan de praktische werkbaarheid en daarmee de gegevensbescherming ondermijnen en dient daarom ook te worden voorkomen. In dat geval kan een bewuste oversimplificatie van het toebedelen van de privacyrollen nodig zijn met het oog op de praktische werkbaarheid. De WP29 noemt het voorbeeld van een landelijk online platform voor de uitwisseling van patiëntgegevens. Door het grote aantal verwerkingsverantwoordelijken – tienduizenden – ontstaat voor de betrokkenen (patiënten) een dermate onduidelijke situatie dat de bescherming van hun rechten in het geding komt. Gezien deze onduidelijkheid en het feit dat de overheid verantwoordelijk is voor de feitelijke opzet van de verwerking en de wijze waarop deze wordt gebruikt dient de overheidsinstantie als gezamenlijke verwerkingsverantwoordelijke te worden beschouwd, en tevens als aanspreekpunt voor verzoeken van betrokkenen, aldus WP129.[43]

Partijen hebben dus enige vrijheid bij allocatie van de privacyposities. Daarmee rijst de vraag: in hoeverre kunnen partijen hun eigen privacypositie bepalen? Indien contractuele bepalingen het uitgangspunt vormen, er geen contra-indicaties zijn, en daarom geen nadere beoordeling plaatsvindt, bestaat het risico dat de kwalificatie van de privacyposities niet in lijn is met de feiten, maar alleen met wat partijen hebben bepaald in de overeenkomst(en) hieromtrent. Verder is het in dit kader frappant dat de WP29 het van belang acht wat voor beeld bij betrokkenen wordt gewekt en ontstaat omtrent de privacypositie van partijen. Dit is immers bij uitstek iets wat partijen kunnen sturen. Maar met een zekere mate van sturing door partijen zelf is wellicht ook niets mis.[44] Soms lijken partijen genoodzaakt om allocatie van de privacypositie bij te sturen. In de eerste plaats zijn partijen soms geneigd een partij als verwerker aan te merken wanneer deze zelf niet in direct contact staat met de betrokkenen. Zonder direct contact met de betrokkenen kan een partij immers lastiger voldoen aan alle verplichtingen van een verwerkingsverantwoordelijke, zoals het voldoen aan informatieplichten en het verkrijgen van geldige toestemming wanneer dit de toepasselijke verwerkingsgrondslag is. Denk hier aan online betaaldienstverleners of aanbieders van een advertentienetwerk. In de tweede plaats, ontstaan praktische problemen wanneer een partij voor een verwerking als gezamenlijke verwerkingsverantwoordelijke kwalificeert maar zelf geen toegang heeft tot de gerelateerde persoonsgegevens. De AVG bepaalt immers dat betrokkenen hun rechten jegens iedere verwerkingsverantwoordelijke kunnen uitoefenen.[45] Wanneer een gezamenlijke verwerkingsverantwoordelijke zelf geen toegang heeft tot de persoonsgegevens, is deze voor het voldoen aan deze verplichting geheel aangewezen op de andere verwerkingsverantwoordelijke. Dit terwijl hij jegens betrokkenen in principe wel hoofdelijk aansprakelijk is voor schade als gevolg van overtreding van de AVG.[46] Vanuit het oogpunt van betrokkenen is het onwenselijk dat verwerkingsverantwoordelijken feitelijk niet aan verplichtingen uit de AVG kunnen voldoen of te maken krijgen met een groot aantal mogelijke verwerkingsverantwoordelijken, waardoor onvoldoende duidelijk is welke organisatie aanspreekbaar is.

Voor de voornoemde praktische complicaties is op basis van WP169 duidelijk dat zij niet tot een toekenning van privacyposities mogen leiden die verder niet in lijn is met de feitelijke situatie. In dat geval dienen partijen een andere ‘oplossing’ voor het praktisch probleem te vinden, bijvoorbeeld door overeen te komen dat de partij die wel direct contact heeft met de betrokkenen hen (tevens) informeert en/of om toestemming vraagt namens de partij die dat niet heeft.

Maar wat als bij een samenwerking tussen twee partijen slechts één van beide partijen zich kan beroepen op een toepasselijke verwerkingsgrondslag of uitzondering op het verwerkingsverbod voor het verwerken van bijzondere categorieën persoonsgegevens? Denk bijvoorbeeld aan situaties in de zorg of het sociaal domein. Zo bevat de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) een specifieke grondslag voor de (colleges van de) gemeenten voor het verwerken van gezondheidsgegevens en BSN in het kader van haar toegangstaak in het sociaal domein.[47] De Wmo 2015 wijst het college van burgemeester en wethouders ook expliciet aan als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in het sociaal domein.[48] In de praktijk mandateren gemeenten hun toegangstaak veelal aan private partijen zoals een plaatselijk wijkteam. Het wijkteam neemt dan vaak zelf beslissingen over (ten minste) de wezenlijke middelen van de gegevensverwerking en zou op basis van de feitelijke analyse als gezamenlijke verwerkingsverantwoordelijke aangemerkt moeten worden. Het wijkteam beschikt alleen niet over een geldige grondslag om de gezondheidsgegevens en het BSN van de burgers te verwerken. De specifieke grondslag voor de verwerking van deze gevoelige gegevens is immers gericht tot het college van de gemeente en er bestaat geen alternatieve grondslag waarop de verwerking kan worden gebaseerd.[49] Wat is dan een werkbare privacykwalificatie voor de wijkteams?[50]

Een andere moeilijkheid doet zich voor bij een ongelijke machtsverhouding tussen een dienstverlener en opdrachtgever, waarbij de dienstverlener feitelijk de condities voor de dienstverlening bepaalt, en daarmee de wijze waarop de persoonsgegevens worden verwerkt. Denk hier bijvoorbeeld aan ZZP’ers die voor IT-ondersteuning gebruik maken van de dienstverlening van een techgigant. Deze techgigant biedt een standaardpakket met standaard voorwaarden aan, en de ZZP’er heeft slechts een ‘take it or leave it’-keuzevrijheid. Hetzelfde kan gelden voor gebruikers van eHealth apps in relatie tot de software aanbieders. Toch lijkt dat er volgens de WP29 niet aan in de weg te staan dat de ZZP’er of appgebruiker als verwerkingsverantwoordelijke kan kwalificeren. De WP29 acht daarbij relevant dat de verwerkingsverantwoordelijke “uit vrije wil heeft ingestemd met de contractbepalingen en er daarmee de volledige verantwoordelijkheid voor aanvaardt”.[51]

Voornoemde paradoxen en complicaties zijn samengevat weergegeven in onderstaand schema.

Figuur 2: Schema paradoxen en complicat ies bij bepaling privacyposit ie volgens WP169

Aangezien de benadering in WP169 sinds 2010 door de Europese privacytoezichthouders wordt aangehangen, zou de verwachting kunnen zijn dat deze benadering ook breder wordt toegepast op Europees en nationaal niveau en dat zich daar dezelfde paradoxen en complicaties voordoen. In het navolgende zal dit worden getoetst op Europees niveau aan de hand van enkele kernuitspraken van het HvJEU, en op nationaal niveau aan de hand van de AVG-Handleiding en de informatie hierover van de AP op haar website.

5 Bepaling privacypositie volgens HvJEU

5.1 Benadering HvJEU

In diverse arresten van HvJEU komt allocatie van de privacyposities van partijen direct of indirect aan bod. In navolgende noemen wij drie relevante en recente voorbeelden waarin het HvJEU ingaat op de uitleg van (gezamenlijke) verantwoordelijkheid onder de Privacyrichtlijn.[52] In deze drie arresten wordt de regel uit het arrest Google Spain herhaald dat het begrip ‘verantwoordelijke’ ruim moet worden uitgelegd met het doel een doeltreffende en volledige privacybescherming te waarborgen.[53] De redenatie van HvJEU is daarbij – verkort weergegeven – als volgt.

  • In Wirtschaftsakademie Schleswig-Holstein oordeelde het HvJEU dat de beheerder van een fanpagina op Facebook (gezamenlijk) verantwoordelijk is voor het verwerken van persoonsgegevens van zijn bezoekers door een softwaretool van Facebook. De beheerder verkrijgt daarbij anonieme statistieken over bezoekers van de webpagina, die de tool met behulp van cookies maakt. Door het vastleggen van instellingen (in de softwaretool) maakt de beheerder de gegevensverwerking mogelijk en oefent de beheerder invloed uit op de verwerking van persoonsgegevens van zijn bezoekers, aldus het HvJEU.[54] Als gevolg daarvan neemt de beheerder deel aan de vaststelling van het doel en de middelen daarvoor en is hij gezamenlijk verantwoordelijk.[55] Daarbij is het volgens het HvJEU irrelevant dat de beheerder niet zelf de cookies plaatst en niet de aanbieder van de tool is. Ook het feit dat de beheerder slechts geanonimiseerde bezoekersstatistieken ontvangt van Facebook en zelf geen inzage in persoonsgegevens krijgt, doet daar niet aan af.
  • In Jehova’s Getuigen oordeelde het HvJEU dat de geloofsgemeenschap van Jehova’s getuigen gezamenlijke verwerkingsverantwoordelijke is voor de verzameling van persoonsgegevens in het kader van huis-tot-huis verkondigingen door haar individuele leden. Dit omdat de huis-tot-huis verkondigingen een wezenlijke activiteit vormen van de geloofsgemeenschap, die de geloofsgemeenschap tevens organiseert, coördineert en daardoor aanmoedigt. Het HvJEU hanteert expliciet als criterium voor vaststelling van verantwoordelijkheid of een partij “invloed uitoefent op de verwerking van persoonsgegevens” (en daardoor deelneemt aan de vaststelling van het doel en de middelen voor de verwerking).[56] Verder is niet vereist dat de vaststelling van het doel en de middelen plaatsvindt door schriftelijke richtsnoeren of instructies. Ook is voor de kwalificatie als (gezamenlijke) verwerkingsverantwoordelijke wederom niet relevant dat de geloofsgemeenschap van Jehova’s getuigen zelf geen toegang had tot de door de leden verzamelde persoonsgegevens.
  • Advocaat-Generaal Bobek (AG) in FashionID identificeert als doorslaggevend criterium op grond van de zaken Wirtschaftsakademie Schleswig-Holstein en Jehova’s Getuigen de vraag of een partij “de mogelijkheid heeft geboden” dat persoonsgegevens worden verwerkt “eventueel in combinatie met enige inbreng die een gezamenlijk voor de verwerking verantwoordelijke heeft wat betreft de instellingen (of wanneer op zijn minst sprake is van stilzwijgende goedkeuring daarvan)”.[57] Hij constateert vervolgens kort gezegd dat een dergelijk brede toepassing van het begrip tot onwerkbare gevolgen kan leiden, waarbij zelfs een Internet Service Provider en platformgebruiker als (gezamenlijke) verwerkingsverantwoordelijken kunnen kwalificeren.[58] Hij waarschuwt daarbij dat een te ruime interpretatie van verantwoordelijkheid afbreuk kan doen aan de privacybescherming omdat de verwerkingsverantwoordelijke die wel reële controle heeft, zich zal kunnen verschuilen achter gezamenlijke verwerkingsverantwoordelijken.[59] Hij pleit er daarom voor dat in de zaak FashionID van de mogelijkheid gebruik wordt gemaakt “om het begrip (gezamenlijk) voor de verwerking verantwoordelijke de benodigde preciezere omschrijving te geven”.[60] Het is echter de vraag in hoeverre het HvJEU daarin ook is geslaagd.
  • Het HvJEU oordeelt in FashionID dat websitebeheerder FashionID, die een ‘vind-ik leuk’–knop (‘plug-in’) van Facebook invoegt (‘embed’) op haar website, met Facebook Ireland gezamenlijke verwerkingsverantwoordelijke is.[61] Het HvJEU herhaalt de rechtsregel dat sprake kan zijn van verwerkingsverantwoordelijkheid indien door een persoon voor eigen doeleinden invloed wordt uitgeoefend op de verwerking van persoonsgegevens, en daardoor deelneemt aan de vaststelling van het doel en de middelen voor deze verwerking.[62] Vervolgens moet de scope van de gezamenlijke (verwerkings)verantwoordelijkheid echter nog worden bepaald.[63] Onder verwijzing naar de regel dat gezamenlijke verwerkingsverantwoordelijken in verschillende stadia en mate betrokken en daarmee verantwoordelijk kunnen zijn, overweegt het HvJEU dat geen sprake kan zijn van gezamenlijke verantwoordelijkheid voor verwerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvoor een partij niet het doel en de middelen vaststelt.[64] Dan vervolgt het HvJEU met de overweging dat FashionID door de integratie van de ‘vind-ik-leuk’-knop van Facebook op haar internetsite de mogelijkheid heeft geboden dat Facebook persoonsgegevens van de bezoekers van de Fashion ID-internetsite verkrijgt.[65] Wat betreft de middelen acht het HvJEU van belang dat FashionID door het plaatsen van de knop op haar website beslissende invloed uitoefent op het verzamelen van persoonsgegevens en delen daarvan met Facebook omdat zonder deze knop het verzamelen en doorzenden van de persoonsgegevens niet zou plaatsvinden. Daarnaast lijkt FashionID een eigen doel voor de gegevensverwerking te hebben: FashionID behaalt vermoedelijk commercieel voordeel door het plaatsen van de knop en zal daarom (impliciet) hebben ingestemd met de gegevensverwerking die daarmee gepaard gaat.[66] Het HvJEU beperkt de gezamenlijke verantwoordelijkheid dus tot de deelverwerkingen waarop FashionID volgens het HvJEU daadwerkelijk invloed heeft: het verzamelen via de website van persoonsgegevens over websitebezoekers en het doorzenden hiervan aan Facebook. FashionID is niet verantwoordelijk voor eventuele verwerkingen van Facebook die daarna nog plaatsvinden.[67] Verder staat ook hier het feit dat FashionIDgeen toegang heeft tot de persoonsgegevens er niet aan in de weg dat zij voor de verwerking ervan als (gezamenlijke) verwerkingsverantwoordelijke kan kwalificeren.[68]

Onze interpretatie van de benadering van het HvJEU voor het bepalen van de privacypositie van partijen, is opgenomen in “Stroomschema bepaling privacypositie HvJEU”.

Figuur 3: Stroomschema bepaling privacyposit ie HvJEU

5.2 Vergelijking benadering HvJEU en WP169

Wat opvalt is dat de benadering van het HvJEU voor het bepalen van verwerkingsverantwoordelijkheid, niet één-op-één valt te rijmen met de benadering van de WP29. De meer simplistische benaderingen van het HvJEU - kortgezegd - ‘invloed hebben leidt tot verwerkingsverantwoordelijkheid’, lijkt op het eerste gezicht wellicht een oplossing te bieden voor de praktische werkbaarheid (en daarmee mogelijk de voorspelbaarheid) van het bepalen van de privacypositie. Als de lezing van FashionID wordt gevolgd dat voor een precieze allocatie van de verantwoordelijkheid/aansprakelijkheid na het bepalen van invloed alsnog tot een nadere analyse wordt overgegaan, levert dit misschien meer een verplaatsing van het probleem op, dan een oplossing daarvoor.

Ook is het bij de versimpelde benadering van het HvJEU de vraag in hoeverre de privacypositie waartoe dit leidt in overeenstemming is met de feitelijke allocatie van invloed en verantwoordelijkheid. Want ongeacht de verschillende benaderingen van de WP29 en het HvJEU is in de praktijk de feitelijke situatie doorslaggevend voor het bepalen van de privacypositie van partijen. Wanneer voor de kwalificatie als (gezamenlijke) verwerkingsverantwoordelijke voldoende is dat een partij stilzwijgend heeft ingestemd met de gegevensverwerking door het mogelijk maken van de gegevensverwerking (FashionID),[69] lijkt toekenning van verwerkingsverantwoordelijkhheid wel heel laagdrempelig plaats te vinden. De ruimere toepassing van het HvJEU van het begrip ‘verwerkingsverantwoordelijke’ heeft ons inziens tot gevolg dat zo snel sprake kan zijn van gezamenlijke verantwoordelijkheid, dat dit tot complexe en onduidelijke situaties in de praktijk kan leiden, wat de privacybescherming juist weer kan ondermijnen.[70] Op Europees niveau lijken de benaderingen van de WP29 en het HvJEU te verschillen, alhoewel duidelijk is dat beide leiden tot paradoxen en complicaties in de praktijk. De vraag die vervolgens rijst is: welke insteek wordt dan op nationaal niveau gehanteerd?

6 Bepaling privacypositie volgens AVG-Handleiding Rijksoverheid en AP

6.1 Benadering AVG-Handleiding Rijksoverheid

In de aanloop naar de inwerkingtreding van de AVG, is in januari 2018 een Handleiding van de Rijksoverheid gepubliceerd, met toelichting op de belangrijkste bepalingen uit de AVG en de UAVG (de AVG-Handleiding).[71] Daarbij is voor bepaling van de privacypositie onderstaand stroomschema opgenomen.[72]

Figuur 4: Stroomschema bepaling privacyposit ie AVG-Handleiding

Wat opvalt aan dit schema is onder meer dat de mogelijkheid van ‘intern beheer’ alleen voor verwerkingsverantwoordelijken wordt vermeld, en daarmee pas aan het einde van het schema terugkomt. In de toelichting op het schema in de AVG-Handleiding, zijn verder de drie situaties uit WP169 herhaald voor aanwijzing van de verwerkingsverantwoordelijke.[73] Voor bepaling van de feitelijke invloed wordt daarbij in lijn met WP169 gesteld dat allereerst gekeken moet worden naar de juridische verhoudingen, maar dat deze niet van doorslaggevende aard zijn. “Het gaat erom wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met de gegevens gebeurt.”[74] Hoe dat vervolgens moet worden bepaald, wordt niet toegelicht. Wat betreft gezamenlijke verwerkingsverantwoordelijkheid wordt in de kern alleen gesteld dat daarvan sprake is: “Wanneer de verantwoordelijke samen met anderen doel en middelen bepaalt”.[75] Daarmee wordt de complexiteit van de benadering uit de WP169 vermeden, maar tevens de nuance. Als doorslaggevend criterium voor verwerkingsverantwoordelijkheid wordt daarbij genomen het antwoord op de vraag “Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?”. Dit zijn twee vragen die de WP29 slechts noemt als onderdeel binnen een breder geheel aan relevante factoren.[76] Met deze benadering worden ons inziens de geïdentificeerde paradoxen en complicaties van toepassing WP169 niet weggenomen.

Voor het vaststellen van de privacypositie van ‘verwerker’ wordt in de AVG-Handleiding echter een andere koers gevaren dan in WP169. Gesteld wordt dat sprake is van verwerkerschap wanneer verwerking van persoonsgegevens de primaire opdracht is: de dienstverlening moet gericht zijn op het verwerken van persoonsgegevens; de verwerking mag daar niet slechts een uitvloeisel van vormen.[77] Ook hier lijkt de nuance beperkt: er wordt slechts toegelicht dat wanneer de verwerker de persoonsgegevens voor eigen doeleinden gaat verwerken, deze daarvoor zelf verantwoordelijk wordt.[78] Onduidelijk is hoe het criterium zou moeten worden toegepast en hoe dit zich verhoudt tot de aanpak van de WP29 en het HvJEU.[79] De voorbeelden die worden genoemd, deels geïnspireerd op WP169, bieden hiervoor ook slechts beperkt verduidelijking. Bij het uitvoeren van de salarisadministratie en opslaan van gegevens in de cloud, is de opdracht volgens de AVG-Handleiding primair gericht op de verwerking van persoonsgegevens.[80] Maar bij het in opdracht beoordelen van iemands kredietwaardigheid of het aanbieden van een fitness app, vormt de verwerking van persoonsgegevens slechts een uitvloeisel van de opdracht.[81] Het onderscheid dat hier wordt gemaakt is zeker niet onbegrijpelijk, maar mist motivatie. Zo kan nu bijvoorbeeld enerzijds betoogd worden dat bij het uitvoeren van de salarisadministratie de verwerking van persoonsgegevens ook slechts een uitvloeisel van de opdracht is. Anderzijds zal het bij het in staat stellen van bedrijven om de kredietwaardigheid van consumenten te beoordelen afhangen van de manier waarop vorm wordt gegeven aan deze opdracht of deze al dan niet primair gericht is op de verwerking van persoonsgegevens. In de praktijk is de opdracht aan een derde vaak niet primair gericht op de gegevensverwerking, maar op het leveren van een dienst waarmee de verwerking gepaard gaat. Alhoewel het criterium van ‘primaire opdracht’ een leemte uit WP169 vult, is het daarom de vraag in hoeverre dit in de huidige vorm meer verduidelijking voor de praktijk biedt. Het is in elk geval niet in lijn met de benadering van de WP29 of het HvJEU. Ook worden met deze benadering de hierboven geïdentificeerde paradoxen en complicaties niet weggenomen. Hoe de AP tegenover dit criterium staat is niet geheel duidelijk: hoewel de AP het criterium op haar website noemt en heeft toegepast in haar Bluetrace-onderzoek, neemt zij het criterium niet mee in haar recente aanvullende uitleg over dit onderwerp.[82]

6.2 Benadering AP

Publiekscampagne 2019

Op 2 september 2019 heeft de AP een nieuwsbericht op haar website geplaatst met het bericht dat zij haar campagne met praktische informatie over verwerkers van persoonsgegevens vervolgt.[83] In dat kader heeft de AP de informatie over verwerkers, verwerkingsverantwoordelijken en verwerkersovereenkomsten op haar website uitgebreid.[84] In de eerste plaats heeft zij een voorbeeldlijst gepubliceerd met zes situaties waarvoor de privacypositie van partijen kort is toegelicht.[85] Deze summiere voorbeelden bieden zeker enig houvast, maar geen basis voor het beslisschema dat moet worden toegepast voor het beoordelen van een nieuwe situatie. Daar kan het stroomschema dat de AP in de tweede plaats heeft gepubliceerd, wel behulpzaam bij zijn, zoals hieronder weergegeven.

Figuur 4: Stroomschema bepaling privacyposit ie AVG-Handleiding

Het stroomschema van de AP toont veel gelijkenissen met het stroomschema uit de AVG-Handleiding. De beslistappen lijken overeen te komen, zij het dat deze met gebruik van zo min mogelijk jargon zijn geformuleerd. Evenals in de AVG-Handleiding wordt de nuance uit WP169 hiermee buiten beschouwing gelaten.[86] Daarmee worden ons inziens geen complicaties opgelost, want in de praktijk is de rolverdeling vaak juist wel genuanceerder. De benadering geeft geen rekenschap van het feit dat een verwerker enige vrijheid toekomt.[87]

Handhaving AP

In het kader van onderzoek en handhaving van de AP komt de toepassing van haar stroomschema niet duidelijk naar voren. Afhankelijk van de situatie die het betreft wordt meer of minder diep ingegaan op bepaling van de privacypositie van de partij in kwestie.[88] Hierna volgen ter illustratie enkele voorbeelden.

  • In het onderzoek van de AP naar gebruik van het BSN van zelfstandigen in btw-identificatienummers door de Belastingdienst hanteert de AP een minder precieze beoordeling dan die zij in haar stroomschema hanteert. De AP noemt eerst dat de Minister van Financiën in het verwerkingsregister van de Belastingdienst is aangemerkt als verwerkingsverantwoordelijke.[89] Vervolgens stelt de AP dat de verwerking waar het rapport op ziet, wordt aangeduid als “de verwerking door de Belastingdienst”, omdat dit de organisatie is die feitelijk de verwerking uitvoert. De AP hakt zelf daarmee echter niet (duidelijk) de knoop door over wie zij nu als verwerkingsverantwoordelijke kwalificeert.
  • Een voorbeeld van een casus waarin de AP overgaat tot meer precieze beoordeling op grond van feitelijke invloed is de Facebook-zaak. In haar onderzoek naar Facebook en het gebruik van persoonsgegevens voor advertenties uit 2017 kwalificeerde de AP moederbedrijf Facebook Inc. als (gezamenlijke) verwerkingsverantwoordelijke (onder de Wbp), en ging zij er niet in mee dat alleen Facebook Ireland hier als verwerkingsverantwoordelijke zou optreden. Doorslaggevend was dat Facebook Inc. de feitelijke verantwoordelijkheid had over gegevensverwerking van gebruikers in Europa.[90]Daarnaast was er sprake van één wereldwijd privacybeleid, welke gebaseerd was op Amerikaans consumentenrecht in plaats van Europees privacyrecht. Ook waren er geen instructies of andere bewijzen waaruit bleek dat de verantwoordelijkheid enkel aan Facebook Ireland toe zou moeten komen.[91]
  • Een volgend voorbeeld waarbij de AP uiteindelijk een meer precieze beoordeling van de privacyposities van partijen toepast, is haar onderzoek naar het HagaZiekenhuis. Pas in het boetebesluit – het eerste boetebesluit onder de AVG – wordt de privacypositie van partijen nader uitgewerkt.[92] De stichting HagaZiekenhuis maakt onderdeel uit van de stichting Reinier Haga Groep (RHG). Relevant is onder meer dat het door RHG vastgestelde Informatiebeveiligingsbeleid en het Privacyreglement van toepassing zijn op het HagaZiekenhuis. Toch acht de AP alleen het HagaZiekenhuis zelf hier verwerkingsverantwoordelijk voor de gebrekkige beveiligingsmaatregelen. Redenen daarvoor zijn dat de fusie met het RHG een bestuurlijke fusie en geen juridische fusie betreft (zo zijn de ziekenhuizen systeemtechnisch gescheiden), het HagaZiekenhuis zelfstandig lokale invulling geeft aan het algemene Informatiebeveiligingsbeleid, en een eigen Autorisatiebeleid en Privacyverklaring heeft. De AP concludeert daarom dat het HagaZiekenhuis formeel-juridische bevoegd is om doelen en middelen van de gegevensverwerking in het ziekenhuisinformatiesysteem te bepalen, en dat daarom alleen het HagaZiekenhuis verwerkingsverantwoordelijke is voor de gegevensverwerkingen in het ziekenhuisinformatiesysteem, en niet daarnaast ook het RHG.[93]
  • In haar boetebesluit inzake Uber neemt de AP wel gezamenlijke verantwoordelijkheid (onder de Wbp) aan. Uber B.V. stelde zich op het standpunt dat haar Amerikaanse moedermaatschappij Uber Technology Inc. als verwerker diende te worden beschouwd ten opzichte van Uber B.V. en had daartoe ook een interne verwerkersovereenkomst gesloten. De AP gaat niet mee in het standpunt van partijen maar kwalificeert beide partijen als gezamenlijk verwerkingsverantwoordelijken. Onder verwijzing naar WP169 en conclusies van de AG’s bij HvJEU jurisprudentie,[94] overweegt de AP dat de feitelijke invloed die een partij heeft doorslaggevend is voor de kwalificatie als verwerkingsverantwoordelijke, niet de contractuele relatie.[95] Feitelijke omstandigheden die de AP in dit kader relevant acht zijn: de gezamenlijke vaststelling door partijen van de privacyverklaring en het informatiebeveiligingsbeleid, en het feit dat de Uber Technology Inc. beslissingen neemt over de opslag van de gegevens en back-ups uitvoert, de Uber-app ontwikkelt en updates uitvoert, en de licentiegever en de aanbieder is van de Uber-app in de Apple en Google Play store.[96]

Uit voorgaand overzicht volgt kort gezegd: het kan verkeren. De toepassing door de AP biedt daarmee (ook) geen duidelijke oplossing voor de diverse paradoxen en complicaties bij het vaststellen van de privacyposities van partijen in de praktijk.

7 Evaluatie en vooruitblik

Uit voorgaande analyse van de insteek voor het bepalen van de privacypositie van partijen van/in de WP29, het HvJEU, de AVG-Handleiding en de AP, volgt naar wij menen dat het diverse benaderingen met wisselende uitkomsten betreft die geen van alle zaligmakend zijn. Alhoewel in WP169 met het oog op de effectiviteit voorop wordt gesteld dat de voorspelbaarheid met betrekking tot de verantwoordelijkheid dient te worden gewaarborgd,[97] lijkt deze doelstelling in de praktijk nu niet te worden behaald. Wij identificeren daarbij als grootste complicatie in de praktijk het gebrek aan een eenduidige benadering, omdat dit leidt tot onvoorspelbaarheid. In dat kader is relevant dat de WP29 er in WP169 uit 2010 reeds voor waarschuwde dat uiteenlopende interpretaties kunnen leiden tot strijdige aanspraken en andere controverses. “In dat geval blijven de positieve effecten achter bij de verwachtingen of kunnen zij worden beperkt of opgeheven door onverwachte negatieve gevolgen”. [98]

Wij hopen dat de herziene versie van de WP169-opinie zoals aangekondigd door de EDPB,[99] meer duidelijkheid zal scheppen en zal leiden tot een meer eenduidige benadering van de privacypositie der partijen in de praktijk. Met name een versimpelde methodiek voor het vaststellen van de privacypositie, maar met behoud van de nuances die zich in de praktijk voordoen, zouden ons inziens kunnen bijdragen aan een werkbare toepassing van de concepten in de praktijk. Denk hier bijvoorbeeld aan de ICO die lijkt te erkennen dat het optreden als verwerker of verwerkingsverantwoordelijke een glijdende schaal is, en in dat kader een lijst met indicatoren geeft voor zowel verwerkingsverantwoordelijken als verwerkers.[100] Het is echter de vraag wanneer die herziene versie er gaat komen.[101] Voorlopig zal de praktijk het daarom toch nog moeten doen met de status quo. In dat kader zou een meer eenduidige toepassing van de WP29-benadering, en een minder (vrije) invulling daarvan door het HvJEU, in de AVG-Handleiding en door de AP, welkom zijn. Met andere woorden: back to the basics.


[1] Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming) (PB L 119).

[2] Zie artikel 82 lid 2 AVG (recht op schadevergoeding en aansprakelijkheid) en artikel 83 AVG (algemene voorwaarden voor het opleggen van administratieve geldboeten).

[3] Groep Gegevensbescherming Artikel 29, Advies 01/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”, WP169, 16 februari 2010, p.1. (Hierna: WP169, Opinie over de begrippen verantwoordelijke en verwerker).

[4] In dit artikel ligt de focus op het onderscheid tussen een verwerker en een (al dan niet gezamenlijke) verwerkingsverantwoordelijke. De specifieke complicaties die spelen bij gezamenlijke verwerkingsverantwoordelijkheid laten wij daarbij gezien de scope van het artikel buiten beschouwing.

[5] Het begrip luidde: ‘controller of the file’, Verdrag tot bescherming van personen met betrekking tot geautomatiseerde verwerking van persoonsgegevens, Trb. 1988, 7.

[6] Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281) (hierna: de Privacyrichtlijn).

[7] Zie respectievelijk artikel 2 sub d Privacyrichtlijn, artikel 1 sub d Wbp, en artikel 4 sub 7 AVG.

[8] Artikel 4 sub 7 AVG. Deze definitie stemt overeen met de definitie uit de Privacyrichtlijn.

[9] Artikel 26 lid 1 AVG. In de AVG is niet uitgewerkt welke vormen van gezamenlijke verantwoordelijkheid mogelijk zijn en welke gevolgen dit heeft voor aansprakelijkheid.In de wetsgeschiedenis op de Wbp werden wel drie basisvormen van gezamenlijke verantwoordelijkheid besproken (Kamerstukken II 1997/1998, 25892, 3, p. 55 e.v.). Wel staat ook onder de AVG nog vast dat de gezamenlijke verantwoordelijkheid verschillende vormen kan aannemen en niet noodzakelijkerwijs gelijk is verdeeld. Zie bijvoorbeeld WP 169, Opinie over de begrippen verantwoordelijke en verwerker, p. 21; HvJ EU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388 (Wirtschaftsakademie Schleswig-Holstein), par. 28, 43, 44; en HvJ EU 10 juli 2018, C-25/17, ECLI:EU:C:2018:551 (Jehovan Todistajat) par. 65, 66.

[10] Artikel 82 lid 2 en 4 van de AVG.

[11] Hoofdstuk III AVG.

[12] Artikel 28 AVG.

[13] Artikel 28 lid 10 AVG.

[14] Artikel 30 lid 2 AVG en artikel 33 lid 2 AVG.

[15] Zie tevens: Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming: en Uitvoeringswet Algemene verordening gegevensbescherming, januari 2018, p. 34 (hierna: AVG-Handleiding).

[16] Tijdens de eerste vergadering van de EDPB zijn zestien Guidelines van de WP29 aangenomen, beschikbaar via www.edpb.europa.eu, geraadpleegd op 26 september 2019.

[17] EDPB verwijst onder meer naar WP169, Opinie over de begrippen verantwoordelijke en verwerker in EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), 16 november 2018, EDPB-EDPS Joint Opinion 1/2019 on the processing of patients’ data and the role of the European Commission within the eHealth Digital Service Infrastructure (eHDSI), 12 July 2019, beschikbaar via www.edpb.europa.eu, geraadpleegd op 26 september 2019.

[18] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 7, 35-36. Onder de AVG is de formulering net iets anders: “[…] noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken […]”, zie artikel 4, sub 10 AVG.

[19] In geval van een onrechtmatige verwerking kan de regel van intern beheer onder omstandigheden worden doorbroken, dan kan bijvoorbeeld een werknemer die “binnen een rechtspersoon handelt gegevens gebruikt voor eigen doeleinden, die buiten het kader van de activiteiten van de rechtspersoon en het toezicht daarop vallen”, daarvoor als (mede) verwerkingsverantwoordelijk kwalificeren. Zie daarover nader: WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 19.

[20] Kamerstukken II 1997/1998, 25892, 3, p. 61, 64. Meer precies licht de WP29 aan de hand van de wetsgeschiedenis van de Privacyrichtlijn daarbij toe dat: “[…] “personen die werkzaam zijn voor een andere organisatie, ook wanneer deze deel uitmaakt van hetzelfde concern of dezelfde houdstermaatschappij, in algemene zin derden zijn”, terwijl anderzijds “kantoren van een bank die klantgegevens verwerken onder rechtstreeks gezag van hun hoofdkantoor geen derden zijn”. […]”. Zie: WP169, Opinie over de begrippen verantwoordelijke en verwerker, p.35.

[21] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 10.

[22] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 1,12. Onder de Wbp gold een formeel-juridisch criterium en een functioneel criterium om te bepalen wie doel en middelen bepaalde, indien het formeel juridische criterium geen uitkomst bood (Kamerstukken II 1997/1998, 25892, 3, p. 55-57).

[23] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 12-15.

[24] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 12.

[25] Een voorbeeld naar Nederlands recht is bijvoorbeeld de Stichting Pensioenregister die bij wet expliciet als verwerker is aangewezen. Zie artikel 51, lid 7 van de Pensioenwet en het besluit van de Minister van Sociale Zaken en Werkgelegenheid van 4 oktober 2018, tot goedkeuring van de wijziging van het reglement van de Stichting Pensioenregister, Stcrt. 2018, 57007.

[26] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 12-13.

[27] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 12.

[28] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 13-14.

[29] In de zaak SWIFT is een duidelijk voorbeeld van dat de contractuele relatie tussen partijen niet doorslaggevend is voor de vraag of sprake is van een verwerker-verwerkingsverantwoordelijke relatie, maar de feitelijke omstandigheden. Zie: Groep Gegevensbescherming Artikel 29, Advies 10/2006 on the processing of personal data by the Society for Worldwide Interbank Financial Telecommunication (SWIFT), WP128, 22 november 2006, p. 11.

[30] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 14.

[31] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 14.

[32] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 10.

[33] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 16-17.

[34] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 17.

[35] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 17.

[36] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 32.

[37] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 32-33.

[38] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 33.

[39] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 33. Overigens kan worden betoogd dat dit criterium (deels) samenvalt met allocatie van de privacypositie op grond van ‘situatie 2’ (privacypositie volgt uit impliciete bevoegdheid), in elk geval wat betreft de traditionele rol van partijen als indicerende factor voor de privacypositie.

[40] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 35.

[41] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 14.

[42] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 14,22.

[43] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 28. Opvallend is in dit kader overigens de allocatie van verantwoordelijkheid door de EDPB inzake eHDSI (een Europees elektronisch netwerk voor uitwisseling van patiëntgegevens). Hierin wordt overwogen dat de Europese Commissie (EC) als houder van het systeem is aan te merken als verwerker en niet als verwerkingsverantwoordelijke terwijl de EC een hoge mate van betrokkenheid heeft bij het netwerk. Zie: EDPB-EDPS Joint Opinion 1/2019 on the processing of patients’ data and the role of the European Commission within the eHealth Digital Service Infrastructure (eHDSI), 12 July 2019, beschikbaar via www.edpb.europa.eu, geraadpleegd op 26 september 2019.

[44] Zie in die zin bijvoorbeeld WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 28: ”Gezamenlijk handelende partijen hebben een zekere speelruimte bij het verdelen en beleggen van verplichtingen en verantwoordelijkheden, zolang zij maar een volledige naleving waarborgen.”

[45] Artikel 26 lid 3 AVG.

[46] Artikel 82 lid 2 en 4 AVG.

[47] Zie bijvoorbeeld artikel 7.4.0 Jeugdwet en artikel 5.1.1 Wmo 2015.

[48] Artikel 5.1.1 lid 6 Wmo 2015.

[49] Zo is wat betreft de gezondheidsgegevens bijvoorbeeld ook toestemming als verwerkingsgrondslag niet geldig gezien de afhankelijkheidsrelatie waarin burgers verkeren bij hun hulpvraag (tot toegang). Zie: Autoriteit Persoonsgegevens, Onderzoeksrapport, Verwerking van persoonsgegevens in het sociaal domein. De rol van toestemming, 19 april 2016. Autoriteit Persoonsgegevens, Onderzoeksrapport, Gegevensverwerking gemeente Nijmegen bij toeleiding naar hulp, 15 februari 2018.

[50] De AP merkt overigens wel op dat de private wijkteams gebruik kunnen maken van de grondslag voor gegevensverwerking van (het college van) de gemeente hetgeen mogelijk impliceert dat zij als verwerker worden aangemerkt. Het op deze wijze construeren van de privacypositie van het wijkteam ter verkrijging van verwerkingsgrondslagen is onwenselijk omdat deze niet aansluit bij de feitelijke situatie, zie: Autoriteit Persoonsgegevens, Onderzoeksrapport gegevensverwerking gemeente Zaanstad bij toeleiding naar hulo, 15 februari 2018, p. 27. De WP29 overweegt in haar opinie in dit verband dat de juridische aanstelling in lijn moet zijn met de werkelijkheid. WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 14. Dit lijkt in voor wat betreft de gegevensverwerking in het sociaal domein niet het geval.

[51] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 30-31.

[52] Deze arresten zijn mede gezien de overeenstemming van de definities van (verwerkings)verantwoordelijke en verwerker in de Privacyrichtlijn en de AVG, ook nog relevant onder de AVG. Zie ook Conclusie A-G 19 december 2018, C-40/17; ECLI:EU:C:2018:1039 (FashionID), par. 87.

[53] HvJEU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317, (Google Spain), par. 34, HvJEU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388 (Wirtschaftsakademie Schleswig-Holstein), par. 26 -28, HvJEU 10 juli 2018, C-25/17, ECLI:EU:C:2018:551 (Jehovan Todistajat)par. 21, HvJEU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 65.

[54] HvJEU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388 (Wirtschaftsakademie Schleswig-Holstein), par. 35-36.

[55] HvJEU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388 (Wirtschaftsakademie Schleswig-Holstein), par. 39.

[56] HvJ EU 10 juli 2018, C-25/17, ECLI:EU:C:2018:551 (Jehovan Todistajat) par. 68.

[57] FashionIDConclusie A-G 19 december 2018, C-40/17, ECLI:EU:C:2018:1039 (FashionID), par.73.

[58] FashionIDConclusie A-G 19 december 2018, C-40/17, ECLI:EU:C:2018:1039 (FashionID), par.73-93.

[59] FashionIDConclusie A-G 19 december 2018, C-40/17, ECLI:EU:C:2018:1039 (FashionID), par.92.

[60] FashionIDConclusie A-G 19 december 2018, C-40/17, ECLI:EU:C:2018:1039 (FashionID), par.72.

[61] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID).

[62] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 68.

[63] Het lijkt niet geheel duidelijk of de scope van verwerkingsverantwoordelijkheid (“joint controllership”), of - daarbinnen - de scope van de verantwoordelijkheid (“responsibility”) en aansprakelijkheid (“liability”) wordt bedoeld. In verband de mogelijke taalverwarring in Nederlands tussen ‘verantwoordelijke’ en ‘verantwoordelijk’, wordt de Engelse tekst geciteerd. Zo stelt het HvJEU eerst: “[…] the existence of joint liability does not necessarily imply equal responsibility of the various operators engaged in the processing of personal data. On the contrary, those operators may be involved at different stages of that processing of personal data and to different degrees, with the result that the level of liability of each of them must be assessed with regard to all the relevant circumstances of the particular case […]” (HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 69); maar vervolgens: “[…] it appears that a natural or legal person may be a controller, within the meaning of Article 2(d) of Directive 95/46, jointly with others only in respect of operations involving the processing of personal data for which it determines jointly the purposes and means. By contrast, and without prejudice to any civil liability provided for in national law in this respect, that natural or legal person cannot be considered to be a controller, within the meaning of that provision, in the context of operations that precede or are subsequent in the overall chain of processing for which that person does not determine either the purposes or the means.” (HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 73).

[64] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 70-74.

[65] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 75.

[66] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 74-80.

[67] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 76.

[68] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par. 69.

[69] HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (FashionID), par 74-80.

[70] Vlg. A-G Bobek in Conclusie A-G 19 december 2018, C-40/17, ECLI:EU:C:2018:1039 (FashionID), par. 92.

[71] De AVG-Handleiding vormt daarbij de vervanging van de Wbp-Naslag zoals voorheen gepubliceerd door de Autoriteit Persoonsgegevens (en diens voorlopers; College Bescherming Persoonsgegevens en de Registratiekamer).

[72] AVG-Handleiding, p. 12.

[73] Dit betreft: verwerkingsverantwoordelijkheid op grond van (1) uitdrukkelijke juridische bevoegdheid: privacypositie volgt uit de wet, (2) impliciete bevoegdheid: verwerkingsverantwoordelijkheid op grond van de gangbare juridische regels en de maatstaven die gelden in het maatschappelijk verkeer, of (3) feitelijke invloed: allocatie van verwerkingsverantwoordelijkheid op basis van de feitelijke invloed die partijen kunnen uitoefenen op de verwerking van de persoonsgegevens; zie AVG-Handleiding, p. 32.

[74] AVG-Handleiding, p. 32.

[75] AVG-Handleiding, p. 33.

[76] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 10.

[77] AVG-Handleiding, p. 33.

[78] AVG-Handleiding, p. 33.

[79] Het criterium dat de dienstverlening van een verwerker geen uitvloeisel mag zijn van een andere vorm van dienstverlening lijkt ontleend aan de Memorie van Toelichting op de Wbp, maar heeft daarmee nog geen grondslag in het Europese recht. Zie: Kamerstukken II 1997/1998, 25892, 3, p.62. De AP paste dit criterium overigens ook toe in haar onderzoek naar Bluetrace. Daarin overwoog de AP dat Bluetrace - als leverancier van een wifi-trackingsysteem en daaraan gerelateerde diensten - geen verwerker maar verantwoordelijke was, omdat de dienstverlening niet primair bestond uit het verwerken van gegevens. College bescherming persoonsgegevens, Onderzoeksrapport Bluetrace, 13 oktober 2015, p. 37.

[80] AVG-Handleiding, p.33.

[81] AVG-Handleiding, p. 33.

[82] Zie Autoriteit Persoonsgegevens, Uitleg in dossier Sociaal domein, beschikbaar via www.autoriteitpersoonsgegevens.nl, geraadpleegd op 26 september 2019; “Is het verwerken van persoonsgegevens niet de primaire taak van een organisatie die in opdracht van de gemeente werkt, maar iets dat daaruit voortvloeit? Dan is deze organisatie geen verwerker, maar (mede)verwerkingsverantwoordelijke.” [..] “Het verlenen van de huishoudelijke zorg is de primaire taak, het verwerken van de persoonsgegevens vloeit hieruit voort. De zorgorganisatie is geen verwerker, maar (mede)verwerkingsverantwoordelijke.” College bescherming persoonsgegevens, Onderzoeksrapport Bluetrace, 13 oktober 2015, p. 36, 37.

[83] ‘AP vervolgt campagne met praktische informatie over verwerkers van persoonsgegevens’, Autoriteit Persoonsgegevens: 2 september 2019.

[84] ‘Voorbeeldlijst: verwerker of verwerkingsverantwoordelijke?’, Autoriteit Persoonsgegevens: 2 september 2019.

[85] In het kort: (1) een ISP is een verwerker, (2) de leverancier van een clouddienst is verwerker behalve voor zover de leverancier de persoonsgegevens ook voor eigen analyse- en marketingdoeleinden verwerkt, (3) bij gegevensuitwisseling tussen een werkgever en de Belastingdienst is sprake van twee (onafhankelijke) verwerkingsverantwoordelijken, (4) de aanbieder van een e-maildienst is verwerker, (5) advocaten zijn “in de meeste gevallen” verwerkingsverantwoordelijken, en (6) bij inschakeling van een ZZP’er ter vervanging van een medewerker is sprake van intern beheer. De voorbeelden zijn merendeels geïnspireerd op de WP169 opinie en iets beter uitgewerkt dan de voorbeelden genoemd in de AVG-Handleiding. Deze voorbeelden overlappen overigens deels met de voorbeelden die de WP29 noemt, zie over: aanbieder maildienst p. 16; werkgever en Belastingdienst p. 24; ISP p. 29; advocaten p. 33 van WP169, Opinie over de begrippen verantwoordelijke en verwerker.

[86] Zo luidt de vraag gerelateerd aan het bepalen van de privacypositie aan de hand van feitelijke invloed: “Bepaalt uw organisatie met welk doel de persoonsgegevens worden verwerkt en de wijze waarop dat gebeurt?”. Daarmee wordt de insteek uit WP169 dat een verwerker de niet-wezenlijke aspecten van de middelen mag vaststellen, buiten beschouwing gelaten.

[87] De Information Commissioner’s Office (ICO) – de privacytoezichthouder in het Verenigd Koninkrijk – lijkt daar overigens meer oog voor te hebben. Zo geeft de ICO onder meer aan dat: “The data controller must exercise overall control over the purpose for which, and the manner in which, personal data are processed. However, in reality a data processor can itself exercise some control over the manner of processing – e.g. over the technical aspects of how a particular service is delivered.” Zie: Information Commissioner’s Office, Data controllers and data processors: what the difference is and what the governance implications are, 6 May 2014, p. 3 beschikbaar via www.ico.org.uk, geraadpleegd op 26 september 2019; zoals ook nu nog aangehaald op door de ICO op www.ico.org.uk, geraadpleegd op 26 september 2019.

[88] Zo lijkt de AP – waarschijnlijk mede gezien de grotere kans op betwisting in een juridische procedure – bij een boeteoplegging geneigd te zijn om de bepaling van de privacypositie in meer detail te beschrijven.

[90] Dit bleek volgens de AP onder meer uit de taken die aan haar waren toebedeeld, dat zij nieuwe diensten ontwikkelde en aanbood, en dat er geen scheiding was tussen de Amerikaans-Canadese en Europese gegevensverwerking en advertenties die vanuit Amerika werden gereviewed.Autoriteit Persoonsgegevens, Onderzoek naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebook-concern, Autoriteit Persoonsgegevens, 21 februari 2017.

[91] Autoriteit Persoonsgegevens, Onderzoek naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebook-concern, 21 februari 2017, p. 83-84, 103, 106 en 108.

[92] Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom, 18 juni 2019, p. 8-10. De positie van RHG wordt overigens in het Onderzoeksrapport nog in het midden gelaten; gesteld wordt slechts dat het RHG als “mede-verwerkingsverantwoordelijke zou kunnen worden aangemerkt”. Autoriteit Persoonsgegevens, Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis (onderzoeksrapport), maart 2019, p. 8.

[93] Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom, 18 juni 2019, p. 10.

[94] Conclusie A-G Jääskinen 25 juni 2013, C-131/12, ECLI:EU:C:2013:424 (Google Spain)), punt 83 en Conclusie A-G Bot 24 oktober 2017, C-210/16 ECLI ECLI:EU:C:2017:796, (Wirtschaftsakademie Schleswig-Holstein) par. 46.

[95] Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete inzake Uber B.V. en Uber Technologies Inc., 6 november 2018, p. 12.

[96] Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete inzake Uber B.V. en Uber Technologies Inc., 6 november 2018, p. 11-17.

[97] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 12.

[98] WP169, Opinie over de begrippen verantwoordelijke en verwerker, p. 9.

[99] Zie European Data Protection Board, Agenda 12th EDPB meeting 9 July 2019, punt 5.1: “Recast of WP29’s Opinion on the concepts of controller and processor”,beschikbaar via www.edpb.europa.eu, geraadpleegd op 26 september 2019.

[100] Information Commissioner’s Office, Data controllers and data processors: what the difference is and what the governance implications are, 6 May 2014, p. 3beschikbaar via www.ico.org.uk, geraadpleegd op 26 september 2019; zoals ook nu nog aangehaald op door de ICO op www.ico.org.uk, geraadpleegd op 26 september 2019.

[101] De recast komt helaas niet meer terug in de agendapunten van de laatste EDPB-meeting. Zie European Data Protection Board, Agenda 13th EDPB meeting 10 September 2019, beschikbaar via www.edpb.europa.eu, geraadpleegd op 26 september 2019.

undefined