Verwerkingsverantwoordelijkheid

Inhoudsopgave

Juridisch kader

Voor elke verwerking van persoonsgegevens zijn één of meerdere partijen gezamenlijk verwerkingsverantwoordelijke. Deze partij is verantwoordelijk voor het naleven van de AVG en daarop aanspreekbaar (artt. 5, tweede lid, en 24 AVG). De AVG geeft criteria om vast te stellen wie dit in een concreet geval is. De AVG biedt daarnaast ruimte om zo nodig in nationale wetgeving te bepalen wie de verwerkingsverantwoordelijke is, of om criteria op te stellen aan de hand waarvan die kan worden aangewezen. Deze pagina biedt handvatten voor het al dan niet aanwijzen van een verwerkingsverantwoordelijke in wetgeving en de manier waarop dat kan gebeuren.

Terug naar boven

Criteria in de AVG

Volgens de AVG is de verwerkingsverantwoordelijke degene die zeggenschap heeft over het verwerken van persoonsgegevens (art. 4, onderdeel 7, AVG). Dit betekent dat diegene bepaalt (beslissende invloed heeft) of persoonsgegevens wel of niet worden verwerkt en het doel en de middelen daarvan. Bij het doel gaat het erom wat men ermee wil bereiken; bij de middelen om datgene dat gebruikt wordt om dat doel te bereiken (bv. welke persoonsgegevens, van wie, hoe lang, aan wie doorgegeven en wie kunnen erbij) (EDPB Richtsnoeren 07/2020, p. 16-19). Of iemand verwerkingsverantwoordelijke is, hangt vooral af van de feitelijke situatie, niet van wat partijen op papier hebben gezet.

In het bijzondere geval dat meerdere partijen samen zeggenschap hebben over het verwerken van persoonsgegevens, is sprake van gezamenlijke verwerkingsverantwoordelijkheid (art. 26 AVG). Dit betekent dat de partijen gezamenlijk deelnemen aan het vaststellen van het doel en de middelen van de verwerking (met enige daadwerkelijke of merkbare invloed). Dat kan volgen uit een gezamenlijk besluit of uit aparte besluiten die elkaar aanvullen (ECLI:EU:C:2023:949, r.o. 43). Alle betrokken partijen hoeven niet gelijkwaardig verantwoordelijk te zijn. Zij kunnen in verschillende fases en op verschillende manieren bij de verwerking betrokken zijn (ECLI:EU:C:2018:388, r.o. 43). Alleen voor de verwerking waar ze samen over besluiten, zijn ze ook samen verantwoordelijk. Als partijen elk apart beslissen over het doel en de middelen (bv. een keten), zijn ze zelfstandig verwerkingsverantwoordelijke.

Terug naar boven

Criteria bij wet

De wetgever kan – impliciet of expliciet – bepalen wie de verwerkingsverantwoordelijke is voor een bepaalde verwerking, of criteria vastleggen op basis waarvan deze wordt aangewezen (art. 6, derde lid, AVG). Dit kan ook gaan om partijen die geen bestuursorgaan of rechtspersoon zijn. De wetgever kan bepalen dat meerdere partijen gezamenlijk verantwoordelijk zijn voor één of meerdere verwerkingen en regelen hoe zij de verantwoordelijkheden voor het naleven van de AVG onderling verdelen.

Terug naar boven

Handvatten voor het opstellen van de wettekst en memorie van toelichting

STAP 1: Verantwoordelijkheid wettelijk regelen? 

  • Bepaald of de verwerkingsverantwoordelijke wel of niet wettelijk moet worden geregeld. Wijs in de wettekst een verwerkingsverantwoordelijke aan als dat meerwaarde heeft ten opzichte van de criteria in de AVG. Het heeft meerwaarde als het meer duidelijkheid (rechtszekerheid) geeft over wie verantwoordelijk is voor een gegevensverwerking. Dit zal bijvoorbeeld het geval zijn bij complexe situaties (z2019-04388, p. 2 en z2019-20224, p. 5).
  • Als een taak of bevoegdheid wordt toegekend, is in beginsel gegeven dat diegene aan wie de taak of bevoegdheid wordt opgedragen, verwerkingsverantwoordelijke is voor verwerkingen ter uitvoering daarvan (z2019-04388, p. 2). Om (verwachte) onduidelijkheid en discussie in de praktijk geheel uit te sluiten, kan het wenselijk zijn om ook in die gevallen in de wet de verwerkingsverantwoordelijke aan te wijzen.
  • Als sprake is van gezamenlijke verwerkingsverantwoordelijkheid, wijs in de wettekst de verantwoordelijken aan en regel hun onderlinge taken, rollen en verantwoordelijkheden met betrekking tot de verwerking dan wel de verplichting aan hen om dat onderling bindend te regelen (z2019-20224, p. 5 en z2019-28546, p. 2 en z2024-0005280, p. 6). Juist waar veel partijen in onderlinge samenhang persoonsgegevens verwerken is van groot belang dat eenduidig vaststaat wie voor welke verwerking verantwoordelijk is (z2022-5161, p. 5).
  • Als de verwerkingsverantwoordelijkheid niet in de wet wordt geregeld, is het van belang om in de toelichting te vermelden wie verantwoordelijk is voor welke verwerking (z2018-03840, p. 4). Helderheid verschaffen kan bv. ook met een tabel of illustratie.

STAP 2: Wie verantwoordelijk maken?

  • Als de verwerkingsverantwoordelijkheid wettelijk wordt geregeld, beleg dan de verantwoordelijkheid bij degene die zeggenschap heeft over de verwerking (die de verantwoordelijkheid kan waarmaken). Het aanwijzen van verwerkingsverantwoordelijkheid is namelijk meer dan een formaliteit, het moet conform de feitelijke situatie zijn (z2018-13271, p. 2).
  • Als het gaat om de publieke sector, beleg de verwerkingsverantwoordelijkheid bij het bij of krachtens de wet bevoegde orgaan of college. Bij ministeries is dat de minister (in een regeling worden taken en bevoegdheden altijd aan een minister opgedragen, ook indien een staatssecretaris op het desbetreffende terrein als verantwoordelijk bewindspersoon fungeert, zie Ar 3.26), tenzij zelfstandige bevoegdheden zijn toegekend aan onder hem ressorterende colleges of diensten (z2019-20224, p. 4).
  • Het ligt in de rede om het bestuursorgaan dat een wettelijke taak uitvoert, verantwoordelijk te maken voor de verwerkingen ter uitvoering van die taak. Dat bestuursorgaan is het meest logische aanspreekpunt voor de betrokkene (z2022-1785, p. 3).
  • Het uitbesteden van werkzaamheden door een verwerkingsverantwoordelijke is normaal gesproken geen onderwerp van regelgeving. Het inschakelen van een verwerker is een feitelijke aangelegenheid die bij de verwerkingsverantwoordelijke berust (z2018-13271, p. 3). Het is dus ook niet nodig om zaken als mandaat, volmacht en machtiging in de wettekst op te nemen. Zo nodig kan deze praktijk beschreven worden in de toelichting (z2022-04691, p. 2). N.B.: bij mandaat blijft de mandaatgever verwerkingsverantwoordelijk (z2021-02821, p. 2).
  • Als er meerdere verwerkingsverantwoordelijken worden aangewezen, wijs dan alleen partijen aan die ieder zelfstandig voldoen aan de definitie van verwerkingsverantwoordelijke (ECLI:EU:C:2019:629, r.o. 74). Regel de onderlinge verdeling zo eenvoudig mogelijk. Knip de verantwoordelijkheden voor één bepaalde concrete verwerking niet op (z2022-5161, p. 5).
  • Motiveer in de toelichting waarom een partij als verwerkingsverantwoordelijke wordt aangewezen. Bv. door duidelijk te maken wie het doel en de middelen van een verwerking (mede) bepalen (z2017-08548, p. 6).
  • Wees in de toelichting zo duidelijk mogelijk om het risico op misverstanden te verkleinen, en daarmee dat de AVG niet wordt nageleefd. Vermijd termen als ‘algemene AVG-verplichtingen’ (z2022-01800, p. 7).
  • Als partijen samenwerkafspraken moeten of kunnen maken, benoem in de toelichting de gevolgen van het maken van dergelijke afspraken voor de verwerkingsverantwoordelijkheid (z2017-10698, p. 4). 

STAP 3: Hoe een partij verantwoordelijkheid maken?

  • Wijs de verwerkingsverantwoordelijke bij voorkeur aan op het niveau van wet in formele zin. Uit art. 10 Grondwet volgt dat de belangrijkste regels over het verwerken van persoonsgegevens in de wet zelf moeten staan, en niet in lagere regelgeving (W16.21.0223/II/Vo, p. 7).
  • Gebruik geen andere termen voor verwerkingsverantwoordelijke, bv. (eind)verantwoordelijke of bevoegd gezag. Sluit in de wettekst en de toelichting zo veel mogelijk aan bij de definities en terminologie van de AVG (z2019-15241, p. 5). Als andere termen worden gebruikt, vertaal die dan in de toelichting naar de terminologie van de AVG.

STAP 4: Nog iets anders regelen?

  • Wees er alert op dat iedere verwerkingsverantwoordelijke voor elke gegevensverwerking over een grondslag beschikt; en zo nodig een grond voor het verwerken van bijzondere categorieën van persoonsgegevens, strafrechtelijke persoonsgegevens of wettelijk identificerende nummers.
  • Wees alert op geheimhoudingsverplichtingen van bepaalde partijen.
  • Wees alert op het beginsel van doelbinding, als de persoonsgegevens verder verwerkt (moeten kunnen) worden voor andere doeleinden (zie de pagina doelbinding en verdere verwerking). 

Terug naar boven

Modelbepalingen

Model 1

[Partij X] is verwerkingsverantwoordelijke (als bedoeld in artikel 4, onderdeel 7, van de Algemene verordening gegevensbescherming*) voor de verwerking van persoonsgegevens, bedoeld in artikel [Y].

Model 2a

[Partij X] en [partij Y] zijn gezamenlijke verwerkingsverantwoordelijken (als bedoeld in artikel 26, eerste lid, van de Algemene verordening gegevensbescherming*) voor de verwerking van persoonsgegevens, bedoeld in artikel [Z]. [Partij X] draagt mede namens [partij Y] zorg voor de toepassing van de artikelen 12 tot en met 22, 33 en 34 van de Algemene verordening gegevensbescherming.

Model 2b

1. [Partij X] en [partij Y] zijn gezamenlijke verwerkingsverantwoordelijken (als bedoeld in artikel 26, eerste lid, van de Algemene verordening gegevensbescherming*) voor de verwerking van persoonsgegevens, bedoeld in artikel [Z]. 
2. Voor de toepassing van de volgende artikelen dragen zorg:
a. partij X: [artikelen 12 tot en met 22, 33 of 34 AVG];
b. partij y: [artikelen 12 tot en met 22, 33 of 34 AVG]. 

* Deze begrippen kunnen ook aan het begin van de wet gedefinieerd worden, zoals in artikel 1 Havenbeveiligingswet, artikel 1.1 Jeugdwet en artikel 1 Veteranenwet

Terug naar boven

Voorbeelden en literatuur

Voorbeelden uit wetteksten en toelichtingen

Hieronder enkele wetten waarin de verwerkingsverantwoordelijk is geregeld:

Hieronder wet- en regelgeving waarin gezamenlijke verantwoordelijkheid is geregeld:

Literatuur

Zie voor meer informatie:

 

Terug naar boven

Laatst gewijzigd op: 19-12-2025