Privacywetgeving

Verwerkingsverantwoordelijke of verwerker? Het verschil

Verwerkingsverantwoordelijke of verwerker onder de AVG: wie bepaalt doel en middelen, gezamenlijke verantwoordelijkheid en een beslisboom met gevolgen per rol.

Also available in:English

Onder de AVG is de verwerkingsverantwoordelijke de partij die het doel en de middelen van een verwerking bepaalt, en de verwerker de partij die persoonsgegevens verwerkt in opdracht van en volgens de instructies van die verantwoordelijke. Kort gezegd: wie beslist waarom en hoe gegevens worden verwerkt, is verantwoordelijke; wie het uitvoert namens een ander, is verwerker. De rolbepaling volgt uit de definities in artikel 4 AVG en bepaalt wie welke plichten draagt: register, verwerkersovereenkomst, aansprakelijkheid en meldplicht bij datalekken.

De rol is geen etiket dat u zelf kiest — hij volgt uit de feitelijke situatie. Wie doel en middelen bepaalt, is verantwoordelijke, ook als het contract iets anders beweert.

Key Takeaways

  • Verantwoordelijke bepaalt doel en middelen; verwerker voert uit op instructie.
  • De rol volgt uit de feiten, niet uit wat partijen afspreken in een contract.
  • Bij gezamenlijke verantwoordelijkheid (art. 26 AVG) bepalen twee partijen samen doel en middelen — zoals in de Fashion ID-zaak.
  • Een verwerker heeft altijd een verwerkersovereenkomst nodig (art. 28 AVG).
  • Nederlandse praktijk: een accountant is voor wettelijke controles verantwoordelijke, een salarisverwerker is verwerker.

Wie bepaalt doel en middelen?

De sleutelvraag is wie de essentiële beslissingen neemt. De verantwoordelijke bepaalt het waarom (het doel) en de essentiële elementen van het hoe (welke gegevens, van wie, hoe lang). De verwerker mag de niet-essentiële, technische middelen kiezen — welke server, welke software — maar handelt binnen de instructies.

De EDPB Guidelines 07/2020 over de begrippen verantwoordelijke en verwerker geven de maatstaf. Een verwerker die voor eigen doeleinden gegevens gaat gebruiken, wordt daarvoor zelf verantwoordelijke — en overtreedt de verwerkersovereenkomst. Dit onderscheid bepaalt ook welke rechtsgrond uit artikel 6 van toepassing is: alleen de verantwoordelijke heeft een grondslag nodig.

Naast verwerker bestaat er nog een derde figuur die vaak wordt verward: de zelfstandige verwerkingsverantwoordelijke in een keten. Wanneer u gegevens deelt met een partij die er vervolgens haar eigen doel mee dient — een accountant die een wettelijke controle uitvoert, een pakketbezorger die een eigen bezorgadministratie bijhoudt — is die partij geen verwerker maar een eigen verantwoordelijke. U bent dan geen opdrachtgever van een verwerker, maar twee verantwoordelijken die gegevens uitwisselen, elk met een eigen grondslag. Het praktische gevolg: geen verwerkersovereenkomst, maar wel duidelijke afspraken over de rechtmatigheid van de doorgifte. Het correct onderscheiden van verwerker, gezamenlijk verantwoordelijke en zelfstandig verantwoordelijke is daarmee de eerste stap in elke gegevensdeling.

Beslisboom voor de rolbepaling

Vraag Ja Nee
Bepaal ik zelf het doel van de verwerking? Verantwoordelijke Ga verder
Bepaal ik de essentiële middelen (welke gegevens, bewaartermijn)? Verantwoordelijke Ga verder
Verwerk ik uitsluitend op instructie van een ander? Verwerker Heroverweeg
Bepalen we samen met een andere partij doel en middelen? Gezamenlijk verantwoordelijk

Loop deze vragen af per verwerking, niet per organisatie: dezelfde partij kan in de ene relatie verantwoordelijke en in de andere verwerker zijn. Een SaaS-leverancier is verwerker voor de klantdata die hij host, maar verantwoordelijke voor zijn eigen facturatie en marketing. Wie de rolbepaling op organisatieniveau doet (“wij zijn nu eenmaal een verwerker”), maakt vrijwel altijd fouten, omdat vrijwel elke organisatie voor sommige verwerkingen verantwoordelijke en voor andere verwerker is.

Gezamenlijke verwerkingsverantwoordelijkheid

Soms bepalen twee partijen sámen doel en middelen. Dan zijn ze gezamenlijk verwerkingsverantwoordelijk (art. 26 AVG) en moeten ze in een onderlinge regeling vastleggen wie welke AVG-verplichting nakomt, vooral richting de betrokkene. Het EU-Hof oordeelde in de Fashion ID-zaak (C-40/17, 2019) dat een website die een Facebook-like-button inbouwt, gezamenlijk verantwoordelijk is voor het verzamelen en doorsturen van bezoekersgegevens — ook al verwerkt Facebook die daarna alleen. De les: een gedeelde beslissing over doel en middelen creëert gedeelde verantwoordelijkheid, met eigen transparantie- en aansprakelijkheidsgevolgen.

Nederlandse praktijkgevallen

Twee terugkerende situaties in Nederland:

  • De accountant. Voert de accountant een wettelijke controle uit, dan bepaalt hij zelf doel en middelen op grond van beroepsregels — hij is dan verwerkingsverantwoordelijke. Verzorgt hij daarnaast de salarisadministratie in opdracht van de klant, dan is hij voor dat deel verwerker. Eén kantoor, twee rollen. Zie ook AVG voor accountants.
  • De salarisverwerker. Een extern loonbureau dat salarissen berekent op instructie van de werkgever is verwerker; de werkgever blijft verantwoordelijke voor de personeelsgegevens. Doet datzelfde bureau óók de aangifte loonheffing op grond van een eigen wettelijke plicht, dan verschuift het voor dat deel naar een eigen verantwoordelijkheid — opnieuw twee rollen bij één dienstverlener.

De rolbepaling bepaalt ook wie het verwerkingsregister bijhoudt (beide rollen hebben een eigen registerplicht, met verschillende velden) en wie datalekken meldt: de verantwoordelijke meldt bij de AP, de verwerker meldt aan de verantwoordelijke. De Autoriteit Persoonsgegevens licht de rollen toe op haar officiële website.

Gevolgen per rol

Verplichting Verantwoordelijke Verwerker
Grondslag (art. 6) Ja Nee
Register (art. 30) Ja, lid 1 Ja, lid 2
Verwerkersovereenkomst (art. 28) Sluit af als opdrachtgever Sluit af als opdrachtnemer
Datalek melden Aan de AP Aan de verantwoordelijke
Rechten betrokkenen Beantwoordt Ondersteunt

Bij honderden leveranciers is het bijhouden van wie welke rol heeft en of er een geldige verwerkersovereenkomst is, een administratieve last. Een platform zoals Legiscope koppelt per verwerking de rol, de tegenpartij en de overeenkomst, zodat de verantwoordelijkheidsketen inzichtelijk blijft.

Waarom de juiste rolbepaling ertoe doet

Een verkeerde rolbepaling is geen theoretisch probleem; het leidt tot concrete overtredingen. Drie voorbeelden van wat er misgaat:

  • Geen grondslag waar die nodig is. Wie ten onrechte denkt verwerker te zijn, gaat ervan uit dat de opdrachtgever de grondslag regelt. Blijkt hij feitelijk verantwoordelijke, dan verwerkt hij zonder eigen grondslag — onrechtmatig vanaf de start.
  • Ontbrekende of onjuiste overeenkomst. Twee partijen die feitelijk gezamenlijk verantwoordelijk zijn maar een verwerkersovereenkomst tekenen, hebben het verkeerde contract. Bij gezamenlijke verantwoordelijkheid is een regeling op grond van artikel 26 vereist, geen artikel 28-overeenkomst.
  • Datalek bij de verkeerde instantie gemeld. De verantwoordelijke meldt aan de AP, de verwerker aan de verantwoordelijke. Wie zijn rol verkeerd inschat, meldt te laat of bij de verkeerde partij — met een boeterisico, zoals de Booking.com-boete (€475.000, 2021) voor een te late datalekmelding illustreert.

De praktische les: bepaal de rol schriftelijk vóórdat de samenwerking start, en herhaal de toets als de dienst verandert. Een leverancier die eerst puur uitvoerend was maar gaandeweg eigen keuzes over gegevens gaat maken, kan ongemerkt in de rol van verantwoordelijke schuiven — en daarmee in nieuwe verplichtingen. Documenteer de rolbepaling per verwerking; het is de basis onder uw hele verantwoordelijkheidsketen.

FAQ

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?

De verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens worden verwerkt; de verwerker doet dat uitsluitend in opdracht en volgens instructie. De verantwoordelijke draagt de meeste verplichtingen en heeft een grondslag nodig; de verwerker moet vooral de instructies en de beveiliging naleven.

Kan een organisatie beide rollen tegelijk hebben?

Ja, maar per verwerking. Een SaaS-bedrijf is verwerker voor de klantdata die het host en verantwoordelijke voor zijn eigen marketing en administratie. Bepaal de rol daarom altijd per verwerkingsactiviteit, niet voor de hele organisatie.

Bepaalt het contract wie verantwoordelijke en wie verwerker is?

Nee. De rol volgt uit de feitelijke situatie: wie bepaalt doel en middelen. Een contract dat een partij “verwerker” noemt terwijl die feitelijk zelf het doel bepaalt, verandert de juridische kwalificatie niet — en kan tot handhaving leiden.

Heb ik altijd een verwerkersovereenkomst nodig?

Ja, zodra u een verwerker inschakelt. Artikel 28 AVG verplicht een schriftelijke verwerkersovereenkomst met vaste minimuminhoud. Zonder die overeenkomst is de inschakeling van de verwerker zelf al een overtreding.

Zie ook: AVG voor SaaS-bedrijven.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →