Wat was er aan de hand?

In de kwestie bij het Hof Arnhem-Leeuwarden (22 februari 2022, ECLI:NL:GHARL:2022:1322) had het RIEC Noord-Nederland een inzageverzoek van een betrokkene ontvangen. Het RIEC heeft dit verzoek vervolgens neergelegd bij een van haar samenwerkingspartners. Had het RIEC dit mogen doen? Of was zij zelf verantwoordelijk voor de afhandeling van dit inzageverzoek? Voor het antwoord op die vraag moet eerst worden vastgesteld welke privacyrol het RIEC in de zin van de AVG heeft.

Belang kwalificatie privacyrol

De AVG onderscheidt een aantal ‘rollen’. Bijvoorbeeld de verwerkingsverantwoordelijke, de verwerker en de derde. Met welke verplichtingen uit hoofde van de AVG een organisatie rekening dient te houden, is afhankelijk van welke privacyrol deze organisatie heeft. Zo heeft een verwerkingsverantwoordelijke onder meer te maken met de rechten van betrokkenen, zoals het inzagerecht. Verwerkers mogen op hun beurt niet zonder toestemming van de verwerkingsverantwoordelijke werkzaamheden aan andere partijen uitbesteden.

(Gezamenlijke) verwerkingsverantwoordelijkheid

Het Hof moest in deze zaak beoordelen of het RIEC aan te merken is als (gezamenlijke) verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is namelijk degene die het inzageverzoek van de betrokkene dient af te handelen.

Op grond van de AVG is een verwerkingsverantwoordelijke degene die het doel van en de middelen van de verwerking van persoonsgegevens vaststelt. Deze partij heeft derhalve de zeggenschap over het ‘hoe’ en ‘waarom’ van deze persoonsgegevensverwerkingen.

Het is daarnaast mogelijk dat meerdere verwerkingsverantwoordelijken gezamenlijk het doel en de middelen van de persoonsgegevensverwerkingen vaststellen. In dat geval is er sprake van “gezamenlijke verwerkingsverantwoordelijken”. Gezamenlijke verwerkingsverantwoordelijken moeten op grond van de AVG afspraken met elkaar vastleggen over hun verantwoordelijkheden voor de naleving van AVG-verplichtingen.

Het Hof overweegt in dit kader dat uit Europese rechtspraak volgt dat het begrip ‘verwerkingsverantwoordelijke’ ruim moet worden uitgelegd. De lat om aangemerkt te worden als verwerkingsverantwoordelijke ligt derhalve niet hoog. Maar er moet wel sprake zijn van enige daadwerkelijke of merkbare invloed op het ‘hoe’ en ‘waarom’ van de verwerking van persoonsgegevens. Niet iedere betrokkenheid of het hebben van enig belang bij de verwerking van persoonsgegevens brengt dan ook zonder meer verwerkingsverantwoordelijkheid met zich mee. Beoordeeld moet worden of er sprake is van actieve handelingen en/of beslissende invloed op de (criteria voor) de verwerking. Deze beoordeling zal steeds afhankelijk zijn van de feitelijke omstandigheden van het geval.

RIEC (gezamenlijke) verwerkingsverantwoordelijke?

Volgens het Hof is het duidelijk dat in het kader van de activiteiten van het RIEC ook persoonsgegevens worden verwerkt. Dat betekent echter niet dat het RIEC ook verwerkingsverantwoordelijke is. Daarvoor is het immers, zoals hiervoor toegelicht, noodzakelijk dat het RIEC invloed uitoefent op het doel en de middelen van de verwerking. Bijvoorbeeld door actieve handelingen te verrichten en/of beslissende invloed uit te oefenen op de (criteria voor) verwerking.

Het Hof heeft in dit kader gekeken naar het convenant waarin het samenwerkingsverband RIEC is vastgelegd en het bijbehorende privacyprotocol. Op grond daarvan oordeelt het Hof dat er onvoldoende aanknopingspunten zijn voor de gedachte dat het RIEC invloed zou uitoefenen op het doel en de middelen van de persoonsgegevensverwerking. Dit oordeel vindt steun in de verklaringen van medewerkers van het RIEC. Uit deze verklaringen volgt onder meer dat de feitelijke werkwijze binnen het RIEC overeenkomt met de in het privacyprotocol vastgelegde werkwijze. Niet het RIEC, maar juist de samenwerkingspartners hebben de zeggenschap over welke persoonsgegevens zij voor welk doel verwerken en uitwisselen. Het RIEC opereert binnen de door deze samenwerkingspartners vastgestelde kaders. Het RIEC heeft volgens het Hof dan ook een instrumentele rol. Zij voert slechts de door de samenwerkingspartners aangedragen projecten uit en faciliteert het delen van door die partners beschikbaar gestelde persoonsgegevens met de andere partners.

Het Hof concludeert dat het RIEC niet is aan te merken als (gezamenlijke) verwerkingsverantwoordelijke. Dat zijn de samenwerkingspartners. De betrokkene dient in dit geval het inzageverzoek dan ook te richten tot deze samenwerkingspartners.

Afronding

Kortom, het begrip ‘verwerkingsverantwoordelijke’ dient ruim te worden opgevat. Maar niet iedere betrokkenheid of het hebben van enig belang bij de persoonsgegevensverwerking leidt zonder meer tot verwerkingsverantwoordelijkheid. Of er sprake is van verwerkingsverantwoordelijkheid zal van geval tot geval aan de hand van de feitelijke situatie moeten worden beoordeeld. Deze uitspraak van het Hof sluit in die zin aan bij de vaste rechtspraak.

Het Hof heeft in dit geval slechts geoordeeld dat het RIEC geen (gezamenlijke) verwerkingsverantwoordelijke is. Uit deze uitspraak wordt echter niet duidelijk welke privacyrol het RIEC dan wel heeft. Is het RIEC een verwerker? Moeten er verwerkersovereenkomsten worden gesloten? Of heeft het RIEC geen privacyrol? Het is dan ook nog niet uitgekristalliseerd of en, zo ja, aan welke verplichtingen uit hoofde van de AVG het RIEC zou moeten voldoen.

Daarnaast is op dit moment het wetsvoorstel Wet Gegevensverwerking Samenwerkingsverbanden (WGS) in behandeling bij de Eerste Kamer. Met dit wetsvoorstel wordt onder meer beoogd de persoonsgegevensverwerkingen binnen de RIEC’s een juridische basis te geven. Wij zijn benieuwd in hoeverre deze uitspraak van invloed zal zijn op dit wetsvoorstel.

Tot slot: betekent dit oordeel van het Hof dat ieder samenwerkingsverband niet aan te merken is als (gezamenlijke) verwerkingsverantwoordelijke? Nee; dat moet, zoals hiervoor aangegeven, van geval tot geval worden beoordeeld. Meer weten? Neem dan contact met ons op.