Niet alle dienstverleners die persoonsgegevens verwerken zijn verwerkers

De meldplicht datalekken heeft veel organisaties in beweging gebracht om hun verwerkers in kaart te brengen en de aanwezigheid van alle vereiste verwerkersovereenkomsten na te gaan. Vaak wordt er hierbij vanuit gegaan dat een dienstverlener die tijdens het uitvoeren van een opdracht persoonsgegevens verwerkt een verwerkers is en dat een verwerkersovereenkomst moet worden gesloten.

Dat is echter lang niet altijd het geval. Sterker nog, het sluiten van een verwerkersovereenkomst, doet dat niets af aan het feit dat de dienstverlener een verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp) kan zijn.

Dat niet iedere persoonsgegevens-verwerkende-dienstverlener een verwerker is, werd nog eens extra aangezet door de Autoriteit Persoonsgegevens (AP) in een sanctiebesluit vorige week gericht aan Bluetrace, volgend op een onderzoek naar hetzelfde bedrijf eind 2015.

Bluetrace is een bedrijf dat in opdracht van winkeliers via wifi-tracking bezoekersstromen in hun winkels in kaart brengt. Daarbij verwerkt Bluetrace onder andere de MAC-adressen van de mobiele telefoons van bezoekers, wat een verwerking van persoonsgegevens is, volgens de AP. Bluetrace stelde zich op het standpunt dat zij ‘alleen’ verwerker is van de verwerkingen, omdat zij handelt in opdracht van de winkelier. Hiertoe waren ook de vereiste bewerkersovereenkomsten gesloten.

De AP stelt zich echter op het standpunt dat Bluetrace helemaal geen verwerker is, maar verantwoordelijke. Daarbij sluit de AP aan bij de memorie van toelichting bij de Wbp die stelt dat van verwerkerschap alleen sprake kan zijn wanneer de opdracht aan de dienstverlener (primair) gericht is op het verwerken van persoonsgegevens en verwerking geen bijkomstigheid is. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk.

“Bij Bluetrace is sprake van een relatie tussen opdrachtgever en opdrachtnemer. De klanten van Bluetrace huren het bedrijf in om voor hen een wifi-trackingsysteem op te zetten en daaraan gerelateerde diensten te leveren. De dienstverlening van Bluetrace bestaat daarmee niet primair uit het verwerken van gegevens. De verwerking van gegevens is een uitvloeisel van de dienst waarvoor het bedrijf ingehuurd wordt door klanten, namelijk het installeren van wifi-trackingsystemen in en rond winkels, het genereren van meetgegevens en het analyseren, beheren en opslaan daarvan. Bluetrace levert daarvoor de technologie, plaatst deze bij de klant en onderhoudt deze ook. Daarnaast worden de meetgegevens verwerkt en in een voor de klant begrijpelijke rapportage opgeleverd. Volgens de memorie van toelichting op de Wbp is de omstandigheid dat de gegevensverwerking meer een uitvloeisel van de dienstverlening is dan een primaire activiteit, een indicatie dat er geen sprake is van bewerkerschap in de zin van de Wbp.”

Ook moet de verantwoordelijke ‘zeggenschap’ hebben over het ‘doel en de middelen van de verwerking’, zoals beslissen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enzovoort.

De verwerker heeft deze zeggenschap niet en zou hij deze wel hebben, dient hij als verantwoordelijke te worden aangemerkt. Dat laatste blijkt het geval bij de verwerkingen door Bluetrace:

“Omdat Bluetrace zelf bepaalt welke soort gegevens het bedrijf verwerkt, hoe lang en met welke technische middelen, ligt de verantwoordelijkheid primair bij Bluetrace. 135 Bluetrace heeft bovendien het feitelijk beheer over alle opgeslagen gegevens uit de trackingactiviteiten en de zeggenschap over eventueel te hanteren bewaartermijnen. Bluetrace verwerkt meetgegevens met als doel het leveren van bedrijfseconomische data aan de klant. Dit is een eigen doel, bepaald door Bluetrace, waarmee het bedrijf een dienst met toegevoegde waarde levert aan zijn klanten (…) Tot slot is van belang dat Bluetrace zelfstandig besluiten heeft genomen over het wel of niet verstrekken van gegevens aan derden en/of opsporingsdiensten.”

Bedrijven die op het punt staan te contracteren met een nieuwe dienstverlener/opdrachtnemer, waarbij sprake is van verwerking van persoonsgegevens, doen er goed aan niet automatisch de bewerkersovereenkomst-template van stal te halen, maar eerst te overwegen of er überhaupt wel sprake is van bewerkerschap. Is het verwerken van persoonsgegevens geen primaire activiteit onder de opdracht, dan is dat een aanwijzing dat geen sprake is van een bewerkerrol en is een bewerkersovereenkomst dus ook niet relevant.

Andere indicatoren die wijzen op een andere rol dan bewerker zijn de mate waarin de dienstverlener zelf zeggenschap heeft over het doel en de middelen van de verwerking, zoals bewaartermijnen en verstrekking aan derden.

Twijfelt u of een dienstverlener/opdrachtnemer wel een bewerker is en of een vewerkersovereenkomst wel vereist is? Of wat er van u wordt verwacht wanneer u persoonsgegevens deelt met een andere verantwoordelijke? Neem dan contact met ons op.