U bent hier

Onderneming & Administratie
Privacy en AVG11. Externe partijen11.1 Externe partij inschakelen

11.1 Externe partij inschakelen

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

schade

Liggen persoonsgegevens van klanten op straat, dan is de verantwoordelijke organisatie in de regel aansprakelijk voor de schade die is ontstaan door overtreding van de privacywetgeving.

De verwerker komt in dat geval goed weg; die is slechts aansprakelijk voor de schade die direct is ontstaan door zijn werkzaamheden. Verder mag deze partij de handen er vanaf trekken. U ziet, het is van belang om goed te weten wie welke rol vervult.

Verantwoordelijke

klanten

Stel, uw organisatie beheert zelf een eigen klantenbestand. Zij bepaalt dat de naw-gegevens en e-mailadressen van uw klanten worden verzameld. Het doel hiervan is om de overeenkomst met klanten uit te voeren en hun de nieuwsbrief te sturen. Daarom slaat de organisatie gegevens op en houdt zij die up-to-date.

Rolverdeling

cruciaal punt

Uw organisatie is in deze situatie de verantwoordelijke partij voor de verwerking van de klantgegevens. Is het beheer van het klantenbestand overgelaten aan een externe partij, dan is die organisatie ‘verwerker’, maar alleen als zij de verwerking van de persoonsgegevens van de klanten volgens de instructies van uw organisatie uitvoert. Cruciaal punt is dat uw organisatie het doel en de middelen bepaalt.

Medeverantwoordelijke

doel

Nu een andere situatie: uw organisatie vraagt een marketingbureau om aan de hand van het klantenbestand een marketingonderzoek te doen. Het bureau geeft aan welke persoonsgegevens het voor dit onderzoek nodig heeft, voor welk doel deze worden verwerkt en hoe.

In dat geval heeft het bureau feitelijk te veel zeggenschap over de verwerking van de persoonsgegevens om uitsluitend verwerker te zijn. Het marketingbureau is dan medeverantwoordelijke!