Een lezer vroeg me:
In 2018 schreef je over verwerkerschap bij een derde partij zoals een ICT-beheerder. Je zei dat je geen verwerkersovereenkomst hoeft te sluiten met zo’n partij wanneer deze partij expliciet geen toegang wil hebben tot persoonsgegevens. Wat zou die partij dan wel mogen (of moeten) doen als hij toch persoonsgegevens krijgt? Iedere handeling daarmee is een verwerking, dus moet er dan toch alsnog gauw een verwerkersovereenkomst komen?
Het klopt dat je aan het verwerken bent als je persoonsgegevens langs ziet komen. Zelfs de enkele handeling van het wissen daarvan, is naar de letter van de AVG een verwerking. Maar persoonsgegevens verwerken wil niet zeggen dat je een verwerker bent.
Een verwerker ben je als je in opdracht persoonsgegevens verwerkt waar de opdrachtgever verwerkingsverantwoordelijke voor is. Die ander bepaalt het doel (dit moet je doen) en kiest de middelen (of tekent daarvoor af). Dat is de wettelijke definitie. Mijn salarisadministrateur is dus een verwerker, en mijn cloud-mailprovider is dat ook. Beiden doen wat ik zeggen dat ze moeten doen met de persoonsgegevens van mijn personeel en klanten.
Wie data tegenkomt buiten een opdracht, is dan ook per definitie geen verwerker. Volgens de AVG ben je dan zelf verwerkingsverantwoordelijke, oftewel je bepaalt zelf wat je er mee mag en moet. En dat is in dit geval heel simpel: je hebt geen grondslag om die gegevens te mogen hebben, dus moet je ze vernietigen. (De grondslag voor die vernietiging is dan ook de wettelijke plicht, artikel 6 sub c AVG.)
Ik twijfel nog of je als beheerder in zo’n situatie van een voor jou meldingsplichtig datalek moet spreken. Jij hebt immers geen geschonden beveiliging, zodat jij geen datalek hebt veroorzaakt. Maar je had wel data onder je op een plek waar die niet hoorde te zijn. Het meest logisch lijkt me echter dat je onmiddellijk de ‘echte’ verantwoordelijke in kennis stelt, waarna die wettelijk verplicht het lek zal moeten melden.
Arnoud
Als verwerkingsverantwoordelijke moet je volgens artikel 14 AVG de betrokkene ook informeren als je persoonsgegevens verwerkt. Je schreef al dat het vernietigen naar de letter van de AVG ook een verwerking is. Als de verkregen persoonsgegevens een email adres bevatten, moet je de betrokkene dan dus informeren over het verkrijgen van die persoonsgegevens en de vernietiging daarvan? Of is een van de uitzonderingen in paragraaf 5 van toepassing? Ik zou zeggen dat de betrokkene er belang bij heeft te weten dat zijn gegevens gelekt zijn.
Als je gaat mailen dan ben je zeker aan het verwerken maar wat is dan jouw grondslag om dat te doen?
Als de AVG je verplicht om de betrokkene te informeren, is die wettelijke plicht ook je grondslag voor die verwerking.
Arnoud, Iedereen cargocult de standaard disclaimer 😉 Dan ben je toch verwerker met de duidelijke instructie de mail direct te verwijderen 😀