KBS

22.10.2021

Gezamenlijke verwerkingsverantwoordelijkheid onder de AVG

Als twee of meer partijen samen het doel en de middelen van een gegevensverwerking vaststellen, worden zij op grond van art. 26 Algemene Verordening Gegevensbescherming (AVG) aangemerkt als ‘gezamenlijk verwerkingsverantwoordelijken’. In dat geval dienen deze partijen op transparante wijze een ‘onderlinge regeling’ vast te stellen, waarin verantwoordelijkheden en verplichtingen worden vastgelegd, in het bijzonder ten aanzien van de rechten van betrokkenen en hun informatieverplichtingen. In de praktijk ligt voor de hand dat daartoe een overeenkomst wordt gesloten, niet te verwarren met een verwerkersovereenkomst tussen verwerkingsverantwoordelijke en verwerker.

In deze bijdrage ga ik op hoofdlijnen in op de criteria voor gezamenlijke verwerkingsverantwoordelijkheid aan de hand van de Europese guidelines, rechtspraak van het Europese Hof van Justitie en enige voorbeelden uit de zorg.

Guidelines EDPD

Om te bepalen of in een concreet geval sprake is van een gezamenlijke verwerking, bieden de guidelines 07/2020 (versie 2.0, 7 juli 2021) van de European Data Protection Board (EDPD) handvatten. De EDPD licht in deze guidelines toe wanneer van gezamenlijkheid sprake kan zijn en vat dit als volgt samen (p. 3):

“The qualification as joint controllers may arise where more than one actor is involved in the processing. The GDPR introduces specific rules for joint controllers and sets a framework to govern their relationship. The overarching criterion for joint controllership to exist is the joint participation of two or more entities in the determination of the purposes and means of a processing operation. Joint participation can take the form of a common decision taken by two or more entities or result from converging decisions by two or more entities, where the decisions complement each other and are necessary for the processing to take place in such a manner that they have a tangible impact on the determination of the purposes and means of the processing. An important criterion is that the processing would not be possible without both parties’ participation in the sense that the processing by each party is inseparable, i.e. inextricably linked. The joint participation needs to include the determination of purposes on the one hand and the determination of means on the other hand.”

 Kernvraag is aldus of twee of meer entiteiten gezamenlijk beslissen over doelen én middelen. Belangrijk criterium daarbij is of de gegevensverwerking niet mogelijk zou zijn zonder de participatie van beide partijen, in die zin dat de verwerkingen door elk van  partijen onlosmakelijk met elkaar zijn verbonden.

Europese Hof van Justitie

Het HvJ EU heeft in diverse uitspraken nadere duiding gegeven aan het begrip ‘verantwoordelijke’ (vgl. HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629; HvJ EU 10 juli 2018 C-25/17, ECLI:EU:C:2018:551; HvJ EU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388. Hoewel deze uitspraken zijn gewezen onder de voormalige Privacyrichtlijn, zijn zij onder de AVG niet minder relevant.

Ten aanzien van de reikwijdte van gezamenlijke verwerkingsverantwoordelijkheid en de afbakening van aansprakelijkheid van partijen heeft het Hof in het eerstgenoemde arrest van 29 juli 2019 (‘Fashion ID’) het volgende overwogen:

1. algemeen uitgangspunt is dat het begrip ‘verantwoordelijke’ ruim dient te worden uitgelegd. Een partij die deelneemt aan de vaststelling van het doel van en de middelen voor een verwerking, kwalificeert als verantwoordelijke (r.o. 68);
2. de omstandigheid dat meerdere actoren gezamenlijk verantwoordelijk zijn voor een en dezelfde verwerking, veronderstelt niet dat ieder van hen toegang heeft tot de betrokken persoonsgegevens (r.o. 69);
3. het bestaan van gezamenlijke verantwoordelijkheid van de verschillende actoren leidt niet noodzakelijk tot een gelijkwaardige verantwoordelijkheid voor één en dezelfde verwerking van persoonsgegevens. Integendeel, die actoren kunnen in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat bij de beoordeling van het niveau van verantwoordelijkheid van ieder van hen rekening moet worden gehouden met alle relevante omstandigheden van het concrete geval (r.o. 70);
4. een natuurlijke of rechtspersoon kan voor bewerkingen die verband houden met de verwerking van persoonsgegevens slechts gezamenlijk met anderen verantwoordelijk wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen vaststelt. Daarentegen kan die natuurlijke of rechtspersoon, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht in dit verband voorziet, niet worden geacht verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt (r.o. 74).

Voorbeelden gezondheidszorg

In de zorg komt gezamenlijke verwerkingsverantwoordelijkheid in verschillende vormen voor. Een typisch voorbeeld is het ‘ziekenhuismodel’ waarin ziekenhuis en medisch specialistisch bedrijf (MSB) in het kader van de zorgverlening gezamenlijk afspraken maken over de gegevensverwerking met gebruikmaking van het informatiesysteem (van het ziekenhuis) en de patiëntgegevens (aangeleverd door de medisch specialist) (zie Kamerstukken II 1997/1998, 25.892, nr. 3, p. 58). Doel en middelen worden in dit verband gezamenlijk bepaald.

Ook bij andere samenwerkingsvormen kan van gezamenlijkheid sprake zijn, zoals in geval van onderlinge dienstverlening, gezamenlijk klinisch onderzoek (als ziekenhuis en universiteit samen het studieprotocol opstellen) of bij de analyse van gezondheidsdata (door een ziekenhuis in samenwerking met de ontwikkelaar van de in te zetten softwareapplicatie).

De enkele betrokkenheid van twee of meer partijen bij de gegevensverwerking zoals in de hiervoor genoemde voorbeelden is voor het aannemen van gezamenlijke verwerkingsverantwoordelijkheid onvoldoende. Van belang is dat deze partijen samen én doelen én middelen vaststellen. Ter illustratie: als een applicatiebeheerder de data-analyses ten behoeve van het ziekenhuis enkel uitvoert, zal deze partij verwerker zijn en geen verwerkingsverantwoordelijke.

Advies

De guidelines van de EDPB en de uitspraken van het HvJ EU bieden algemene aanknopingspunten om in een concreet geval vast te stellen of sprake is van gezamenlijke verwerkingsverantwoordelijkheid of niet. Is eenmaal vastgesteld dat sprake is van gezamenlijkheid, dan is het van belang heldere afspraken te maken over de onderlinge verantwoordelijkheden en verplichtingen.

Heeft u vragen over (gezamenlijke) verwerkingsverantwoordelijkheid of wenst u advies over andere privacyvraagstukken in de zorg? U kunt contact opnemen met advocaten Erik Luijendijk (e.luijendijk@kbsadvocaten.nl / 030-3132845) en Niels van den Burg (n.vandenburg@kbsadvocaten.nl / 030-3132858).