Een lezer vroeg me:
In 2018 schreef je over verwerkerschap bij een derde partij zoals een ICT-beheerder. Je zei dat je geen verwerkersovereenkomst hoeft te sluiten met zo’n partij wanneer deze partij expliciet geen toegang wil hebben tot persoonsgegevens. Wat zou die partij dan wel mogen (of moeten) doen als hij toch persoonsgegevens krijgt? Iedere handeling daarmee is een verwerking, dus moet er dan toch alsnog gauw een verwerkersovereenkomst komen?
Het klopt dat je aan het verwerken bent als je persoonsgegevens langs ziet komen. Zelfs de enkele handeling van het wissen daarvan, is naar de letter van de AVG een verwerking. Maar persoonsgegevens verwerken wil niet zeggen dat je een verwerker bent.
Een verwerker ben je als je in opdracht persoonsgegevens verwerkt waar de opdrachtgever verwerkingsverantwoordelijke voor is. Die ander bepaalt het doel (dit moet je doen) en kiest de middelen (of tekent daarvoor af). Dat is de wettelijke definitie. Mijn salarisadministrateur is dus een verwerker, en mijn cloud-mailprovider is dat ook. Beiden doen wat ik zeggen dat ze moeten doen met de persoonsgegevens van mijn personeel en klanten.
Wie data tegenkomt buiten een opdracht, is dan ook per definitie geen verwerker. Volgens de AVG ben je dan zelf verwerkingsverantwoordelijke, oftewel je bepaalt zelf wat je er mee mag en moet. En dat is in dit geval heel simpel: je hebt geen grondslag om die gegevens te mogen hebben, dus moet je ze vernietigen. (De grondslag voor die vernietiging is dan ook de wettelijke plicht, artikel 6 sub c AVG.)
Ik twijfel nog of je als beheerder in zo’n situatie van een voor jou meldingsplichtig datalek moet spreken. Jij hebt immers geen geschonden beveiliging, zodat jij geen datalek hebt veroorzaakt. Maar je had wel data onder je op een plek waar die niet hoorde te zijn. Het meest logisch lijkt me echter dat je onmiddellijk de ‘echte’ verantwoordelijke in kennis stelt, waarna die wettelijk verplicht het lek zal moeten melden.
Arnoud