Wie is er verantwoordelijk voor bescherming van persoonsgegevens?

Commercieel gezien zijn persoonsgegevens enorm interessant. Niet alleen om een bestelling mee af te handelen in een webshop, maar ook om profielen van een bepaalde groep personen te maken of om commerciële berichten te sturen. Voor bedrijven zoals Google of Facebook zijn persoonsgegevens goud waard. Maar ook kwaadwillende zijn altijd op zoek naar persoonsgegevens, bedenk eens wat je met creditcard gegevens van honderden klanten van een webshop of online gameplatform kunt doen. Daarom is het uitermate belangrijk om zorgvuldig met persoonsgegevens om te gaan. Maar wie is er verantwoordelijk voor deze omgang?

Iedereen die met persoonsgegevens omgaat is verantwoordelijk voor de geheimhouding en veiligheid daarvan. Het wordt echter al iets ingewikkelder als je omgaat met persoonsgegevens die je voor andere bedrijven beheert en gebruikt. Denk daarbij aan het maken van een back-up van klantgegevens of bijvoorbeeld het versturen van een nieuwsbrief indien deze naar adressen gaat die een ander bedrijf, op rechtmatige wijze, verzameld heeft. De eigenaar van de gegevens is verantwoordelijk, maar ook degene die met de persoonsgegevens aan de slag gaat heeft een bepaalde verantwoordelijkheid.

De wet spreekt in dat geval over een verantwoordelijke (degene die de gegevens verzamelt heeft) en de bewerker (degene die de gegevens verwerkt). In bovenstaand voorbeeld zijn deze rollen duidelijk. In de praktijk blijkt dit echter regelmatig moeilijker dan gedacht. De Wet bescherming persoonsgegevens (Wbp) stelt dat degene die verantwoordelijk is een bewerkersovereenkomst dient te laten ondertekenen door de bewerker.

De bewerkersovereenkomst, vaak een ondergeschoven kindje, is niet alleen wettelijk verplicht, maar ook van essentieel belang om goede afspraken te maken over de beveiliging en omgang met persoonsgegevens.

De verantwoordelijke voor de persoonsgegevens wordt in de Wbp ruim gedefinieerd:

de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

Degene die het doel en/of de middelen voor de verwerking vaststelt wordt dus gezien als verantwoordelijke. In de gevallen waarbij het niet direct duidelijk is wie de verantwoordelijk is, is het goed om af te vragen of partij A zonder medewerking van partij B beschikking krijgt over de persoonsgegevens. (zo stelt de Artikel 29-werkgroep in een opinie uit 2010)

Een werkgever die een contract sluit met een software ontwikkelaar die een back-up gaat maken van de personeelsgegevens is verantwoordelijke. Ingewikkelder wordt het al als een werkgever een contract sluit met een software ontwikkelaar die een platform gaat ontwikkelen waarop personeelsleden zich kunnen registreren en vervolgens met elkaar kunnen communiceren, of foto’s uit kunnen wisselen.

Het personeel dient zich weliswaar zelf te registreren op het platform, maar toch is de werkgever verantwoordelijk voor de persoonsgegevens die de software ontwikkelaar opslaat. Zonder het contract dat de werkgever met de software ontwikkelaar heeft gesloten zou de software ontwikkelaar immers geen beschikking hebben gekregen over de persoonsgegevens. En dus is er een bewerkersovereenkomst tussen de werkgever en software ontwikkelaar nodig.

In de praktijk blijkt soms dat de verantwoordelijke deze verantwoordelijkheid van zich af wenst te schuiven door alle verantwoordelijkheid bij de bovengenoemde software ontwikkelaar neer te leggen. Dat helpt de verantwoordelijke niet, maar de software ontwikkelaar helemaal niet. Indien dit bij een controle van het College Bescherming Persoonsgegevens aan het licht komt, lopen beide partijen het risico een last onder dwangsom opgelegd te krijgen.

Belangrijk is om in een bewerkersovereenkomst duidelijk de rollen van de partijen uiteen te zetten. Zo weten alle partijen waar ze aan toe zijn en wat ze elkaar kunnen bieden.


Peter Kager is juridisch adviseur certificering bij ICTRecht. Hij is specialist in het certificeren van webwinkels op naleving van de wet en de Thuiswinkel.org-voorwaarden.

Dit artikel verscheen op 3 juni 2013 op de blog van ICT Recht en is met toestemming overgenomen op ISP Today.

Over Peter Kager

Peter Kager is juridisch adviseur bij ICTRecht. Hij houdt zich bezig met alle juridische aspecten van e-commerce. Van kopen op afstand, domeinnamen, cookies en privacy tot de juridische aspecten van webdevelopment en hosting. Daarnaast past Peter deze aspecten ook breder toe en adviseert hij uiteenlopende dienstverleners op het gebied van digitaliseren, samenwerken en het sluiten van contracten.