Privacytool

De privacytool is bedoeld om Privacy Professionals te helpen om te verifiëren wat er moet gebeuren op privacy gebied. Hoewel iedere privacy casus maatwerk* vereist, kan de tool je ondersteunen in het proces. 

* Privacy casussen zijn vaak niet zwart-wit te benaderen. De tool maakt inzichtelijk welke factoren er in beschouwing genomen dienen te worden, maar vaak is maatwerk vereist. Tools voor Professionals.nl is niet aansprakelijk voor beslissingen dan wel handelingen die voortkomen uit de informatie die op deze website ter beschikking wordt gesteld.

  • De tool is gebaseerd op een scala aan (wetenschappelijke) artikelen en juridische uitspraken
  • De tool wordt regelmatig aangepast op actualiteiten en feedback van juristen
  • Aan de tool wordt in de nabije toekomst meer info toegevoegd, dus stay tuned!
Start hier

Of klik meteen door naar één van de volgende onderdelen:

Rollen bepalen

Wat is de privacystatus/-rol van de betrokken partijen?

Overeenkomsten

Welke overeenkomsten moeten er worden gesloten?

DPIA?

Moet er een DPIA worden uitgevoerd? [under construction]

Privacy acties

Welke eventuele andere acties moeten er worden uitgevoerd?

Is er sprake van een verwerking (of verwerkingen)* van persoonsgegevens**?

Ja
Nee

Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens” (1).

Persoonsgegevens verwijst naar “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon” (2).

(1). Artikel 4, AVG. Geraadpleegd via deze link.

(2). Laan, V.I., en Vaal, E.F. (2021). Hebben we een verwerkersovereenkomst nodig? Over het bepalen van de privacypositie van partijen. Geraadpleegd via deze link. 

Buiten de scope van de AVG

Je hebt bij de vorige vraag ingevuld dat er geen sprake is van een verwerking van persoonsgegevens.

Als er geen sprake is van het verwerken van persoonsgegevens, valt de casus buiten de scope van de AVG. Wellicht wordt er desondanks gevoelige data verwerkt. Neem in dat geval contact op met bijvoorbeeld een Security Officer.

< Vorige
Naar hoofdpagina

Is zowel jouw organisatie als een andere partij betrokken bij de uitvoering en/of besluitvorming*** omtrent de verwerking?

Ja
Nee
< Vorige

Met “uitvoering en/of besluitvorming” wordt bedoeld dat het mogelijk is dat de verantwoordelijke partij niet is betrokken bij de uitvoering van de verwerking en wellicht zelfs geen toegang heeft tot de persoonsgegevens, maar vanwege diens rol bij de besluitvorming toch is aangewezen als verwerkingsverantwoordelijke (1).

(1). Laan, V.I., en Vaal, E.F. (2021). Hebben we een verwerkersovereenkomst nodig? Over het bepalen van de privacypositie van partijen. Geraadpleegd via deze link. 

De casus in stukjes knippen

Begin met het maken van een lijst van alle verwerkingen die plaatsvinden binnen deze casus en doorloop de beslisboom per verwerking of per reeks verwerkingen*. Het kan namelijk zijn dat jouw organisatie verschillende privacyposities heeft binnen dezelfde casus.

Verwerkingen die je kunt groeperen doordat het gaat om verwerkingsactiviteiten die plaatsvinden ten behoeve van hetzelfde specifieke doel.

< Vorige
Ga verder

Zelfstandig verantwoordelijk

Als er maar één partij is betrokken bij de verwerking van persoonsgegevens, is er sprake van zelfstandige verantwoordelijkheid. Is jouw organisatie deze partij? Dan is jouw organisatie zelfstandig verantwoordelijk. Er hoeft niets te worden getekend. De volgende acties moeten mogelijk worden uitgevoerd:

  • De verwerking opnemen in een verwerkingsregister;
  • De betrokkenen indien nodig informeren d.m.v. bijvoorbeeld een (sub)privacyverklaring;
  • Het uitvoeren van een DPIA.
< Vorige
Naar hoofdpagina

Is er sprake van een verwerking van persoonsgegevens waarbij één of meerdere partijen op grond van een rechtshandeling is/zijn aangewezen als verwerkingsverantwoordelijk (expliciete bevoegdheid*) of is er sprake van een verwerking waarbij voor één of meerdere partijen de persoonsgegevens benodigd zijn voor het uitvoeren van een taak die is toegewezen op grond van een rechtshandeling (impliciete bevoegdheid**)?

Let op: Het is mogelijk dat er binnen één casus verwerkingen voorkomen, waarbij er bij de ene verwerking sprake is van wettelijke bevoegdheid, maar bij de andere verwerking niet. Let er dus op dat je voor iedere verwerking of reeks verwerkingen afzonderlijk de beslisboom doorloopt.​

Ja, er is sprake van één wettelijk bevoegde partij
Ja, beide partijen zijn wettelijk bevoegd
Nee, er is geen sprake van wettelijke bevoegdheid
< Vorige

Expliciete wettelijke bevoegdheid houdt in dat uit de wet blijkt wie de verwerkingsverantwoordelijke is (1). De Belastingdienst heeft bijvoorbeeld vanuit de wet de juridische plicht om persoonsgegevens te verwerken (2).

Impliciete wettelijke bevoegdheid houdt in dat een entiteit is belast met bepaalde overheidstaken die niet kunnen worden uitgevoerd zonder ten minste bepaalde persoonsgegevens te verzamelen en die daartoe een database of register aanlegt om die overheidstaken te vervullen (1). Een voorbeeld is dat gemeentes volgens nationale wetgeving sociale uitkeringen moeten verstrekken, zoals maandelijkse betalingen aan burgers, afhankelijk van hun financiële situatie. Voor de uitvoering van deze betalingen moet het gemeentebestuur gegevens over de financiële situatie van de aanvragers verzamelen en verwerken. Hoewel in de wet niet uitdrukkelijk is bepaald dat de gemeentelijke autoriteiten voor deze verwerking verantwoordelijk zijn, volgt dit impliciet uit de wettelijke bepalingen.

  1. https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_nl.pdf, p. 13
  2. https://www.thelegalproject.nl/post/hoe-bepaal-je-wie-verwerkingsverantwoordelijke-is (geraadpleegd op 20-09-2023).

Gezamenlijke verwerkings-
verantwoordelijkheid

Er is sprake van een gezamenlijke verwerkingsverantwoordelijkheid op basis van een wettelijke bevoegdheid die voor beide partijen geldt. De partijen maken gezamenlijk dan wel aanvullend op elkaar beslissingen omtrent het doel en de middelen van de verwerking. 

Tekenen: Gezamenlijke verwerkingsovereenkomst

< Vorige
Naar hoofdpagina

Eén van de partijen is wettelijk bevoegd voor deze verwerking(en). Deze partij is daarom verwerkingsverantwoordelijk voor deze specifieke verwerking(en). Dit betekent ofwel dat de andere partij verwerker is, ofwel dat er sprake is van afzonderlijke zelfstandig verwerkingsverantwoordelijken.

Bepaalt of accepteert de wettelijk bevoegde partij het doel* en de essentiële middelen** van de verwerking(en)?

Ja
Nee
Dat is onduidelijk
< Vorige

De partij die het doel bepaalt, bepaalt het waarom van deze verwerking. De verwerking vindt plaats in het belang van deze partij en deze is zodoende verantwoordelijk. Een verwerker voert een verwerking uit ten behoeve van deze verwerkingsverantwoordelijke. Let op: met doel wordt in dit verband niet bedoeld het loutere bestaan van een commercieel voordeel dat voortvloeit uit een verwerkingsactiviteit (2). 

De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over  het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen. De verwerkingsverantwoordelijke partij bepaalt deze essentiële middelen, echter is het accepteren van een standaardpakket aan middelen óók een beslissing. Het accepteren van een take-it-or-leave-it oplossing van een techgigant wordt bijvoorbeeld ook gerekend onder het bepalen van de essentiële middelen (1).

  1. Laan, V.I., en Vaal, E.F. (2021). Hebben we een verwerkersovereenkomst nodig? Over het bepalen van de privacypositie van partijen. Geraadpleegd op 31-08-2023 via deze link

  2. EDPB (2021), p. 24-26. Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, Versie 2.0. Geraadpleegd via deze link.

Wettelijk bevoegde verwerkingsverantwoordelijk - verwerker

De wettelijk bevoegde partij is verwerkingsverantwoordelijk en de andere partij is verwerker.

Tekenen: Verwerkingsovereenkomst met de wettelijk bevoegde partij als verwerkingsverantwoordelijke.

Let op: wanneer een DPIA niet verplicht is, wordt er in sommige organisaties voor gekozen om (in overleg met de Privacy Officer) een verwerkingsovereenkomst light te tekenen. 

< Vorige
Naar hoofdpagina

Afzonderlijke zelfstandig verantwoordelijken

Beide partijen zijn afzonderlijk zelfstandig verantwoordelijk voor deze verwerking. Zij bepalen zelfstandig de doelen en de middelen van de persoonsgegevens die zij verwerken.

Tekenen:

Als de andere partij een organisatie is: data sharing agreement

Als de andere partij een zzp’er is: geheimhoudingsverklaring

< Vorige
Naar hoofdpagina

Is het verwerken van persoonsgegevens het primaire doel van de andere partij?

Met andere woorden: is het verzamelen, vastleggen, opvragen, raadplegen etc. (art. 4 AVG) van persoonsgegevens diens kernactiviteit?

< Vorige
Ja
Nee

Heeft één van de partijen of beide partijen een gezaghebbende rol ten opzichte van de betrokkene vanuit een traditionele rolverdeling of professionele deskundigheid* en vindt de verwerking binnen dat kader plaats?

In de praktijk kunnen bepaalde verwerkingsactiviteiten op natuurlijke wijze inherent zijn aan de rol of de activiteiten van een entiteit die uiteindelijk uit het oogpunt van gegevensbescherming verantwoordelijkheden met zich meebrengen. Dit kan het gevolg zijn van algemenere wettelijke bepalingen of van een vaste rechtspraktijk op verschillende gebieden (burgerlijk recht, handelsrecht, arbeidsrecht, enz.). In dit geval zullen bestaande traditionele rollen en professionele deskundigheid die normaliter een bepaalde verantwoordelijkheid inhouden, helpen bij het identificeren van de verwerkingsverantwoordelijke, bijvoorbeeld: een werkgever met betrekking tot de verwerking van persoonsgegevens over zijn werknemers, een uitgever die persoonsgegevens over zijn abonnees verwerkt, of een vereniging die persoonsgegevens over haar leden of contribuanten verwerkt (p. 14 EDPB)

< Vorige
Geen van de partijen
Beide partijen

Gezamenlijke verwerkings-
verantwoordelijkheid

Beide partijen hebben een gezaghebbende rol ten opzichte van de betrokkene vanuit een traditionele rolverdeling of professionele deskundigheid en de verwerking vindt binnen dat kader plaats. Ten gevolge hiervan dragen beide partijen de verantwoordelijkheid voor de persoonsgegevens. 

Tekenen: Gezamenlijke verwerkingsovereenkomst

< Vorige
Naar hoofdpagina

De gezaghebbende partij is verantwoordelijk. De andere partij is ofwel verwerker ofwel zelfstandig verantwoordelijk. 

Bepaalt de gezaghebbende partij het doel* en de essentiële middelen** van de verwerking?

De partij die het doel bepaalt, bepaalt het waarom van deze verwerking. De verwerking vindt plaats in het belang van deze partij en deze is zodoende verantwoordelijk. Een verwerker voert een verwerking uit ten behoeve van deze verwerkingsverantwoordelijke. Let op: met doel wordt in dit verband niet bedoeld het loutere bestaan van een commercieel voordeel dat voortvloeit uit een verwerkingsactiviteit (2). 

De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over  het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen. De verwerkingsverantwoordelijke partij bepaalt deze essentiële middelen, echter is het accepteren van een standaardpakket aan middelen óók een beslissing. Het accepteren van een take-it-or-leave-it oplossing van een techgigant wordt bijvoorbeeld ook gerekend onder het bepalen van de essentiële middelen (1).

  1. Laan, V.I., en Vaal, E.F. (2021). Hebben we een verwerkersovereenkomst nodig? Over het bepalen van de privacypositie van partijen. Geraadpleegd op 31-08-2023 via deze link

  2. EDPB (2021), p. 24-26. Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, Versie 2.0. Geraadpleegd via deze link.

Ja
Nee
Dat is onduidelijk
< Vorige

Is het verwerken van persoonsgegevens het primaire doel van de andere partij?

Met andere woorden: is het verzamelen, vastleggen, opvragen, raadplegen etc. (art. 4 AVG) van persoonsgegevens diens kernactiviteit?

< Vorige
Ja
Nee

Verwerkings-
verantwoordelijk vanuit gezaghebbende
rol en verwerker

De partij met de gezaghebbende rol is verwerkingsverantwoordelijk en de andere partij is verwerker.

Tekenen: Verwerkingsovereenkomst met de wettelijk bevoegde partij als verwerkingsverantwoordelijke.

Let op: wanneer een DPIA niet verplicht is, wordt er in sommige organisaties voor gekozen om (in overleg met de Privacy Officer) een verwerkingsovereenkomst light te tekenen. 

< Vorige
Naar hoofdpagina

Afzonderlijke zelfstandig verantwoordelijken

Beide partijen zijn afzonderlijk zelfstandig verantwoordelijk voor deze verwerking. Zij bepalen zelfstandig de doelen en de middelen van de persoonsgegevens die zij verwerken.

Tekenen:

Als de andere partij een organisatie is: data sharing agreement

Als de andere partij een zzp’er is: geheimhoudingsverklaring

< Vorige
Naar hoofdpagina

Wie bepaalt of accepteert* het doel** en de essentiële middelen*** van de verwerking(en)?

De verwerkingsverantwoordelijke partij bepaalt deze essentiële middelen, echter is het accepteren van een standaardpakket aan middelen óók een beslissing. Het accepteren van een take-it-or-leave-it oplossing van een techgigant wordt bijvoorbeeld ook gerekend onder het bepalen van de essentiële middelen (1).

De partij die het doel bepaalt, bepaalt het waarom van deze verwerking. De verwerking vindt plaats in het belang van deze partij en deze is zodoende verantwoordelijk. Een verwerker voert een verwerking uit ten behoeve van deze verwerkingsverantwoordelijke. Let op: met doel wordt in dit verband niet bedoeld het loutere bestaan van een commercieel voordeel dat voortvloeit uit een verwerkingsactiviteit (2). 

De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over  het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen. 

  1. Laan, V.I., en Vaal, E.F. (2021). Hebben we een verwerkersovereenkomst nodig? Over het bepalen van de privacypositie van partijen. Geraadpleegd op 31-08-2023 via deze link.

  2. EDPB (2021), p. 24-26. Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, Versie 2.0. Geraadpleegd via deze link.

Dat is onduidelijk
Mijn organisatie
De andere partij
Beide partijen
< Vorige

Is het verwerken van persoonsgegevens het primaire doel van de andere partij?

Met andere woorden: is het verzamelen, vastleggen, opvragen, raadplegen etc. (art. 4 AVG) van persoonsgegevens diens kernactiviteit?

< Vorige
Ja
Nee

Afzonderlijke zelfstandig verantwoordelijken

Beide partijen zijn afzonderlijk zelfstandig verantwoordelijk voor deze verwerking. Zij bepalen zelfstandig de doelen en de middelen van de persoonsgegevens die zij verwerken.

Tekenen:

Als de andere partij een organisatie is: data sharing agreement

Als de andere partij een zzp’er is: geheimhoudingsverklaring

< Vorige
Naar hoofdpagina

Verwerkings-
verantwoordelijke en verwerker

Jouw organisatie is verwerkingsverantwoordelijk en de andere partij is verwerker.

Tekenen: Verwerkingsovereenkomst met jouw organiatie als verwerkingsverantwoordelijke.

Let op: wanneer een DPIA niet verplicht is, wordt er in sommige organisaties voor gekozen om (in overleg met de Privacy Officer) een verwerkingsovereenkomst light te tekenen. 

< Vorige
Naar hoofdpagina

Verwerker en verwerkings-
verantwoordelijke

Jouw organisatie is verwerker en de andere partij is verwerkingsverantwoordelijk. Het is jouw organisatie niet toegestaan om buiten de instructie van de andere partij te handelen met betrekking tot deze persoonsgegevens. 

Tekenen: Verwerkingsovereenkomst met de andere partij als verwerkingsverantwoordelijke.

Let op: wanneer een DPIA niet verplicht is, wordt er in sommige organisaties voor gekozen om (in overleg met de Privacy Officer) een verwerkingsovereenkomst light te tekenen. 

< Vorige
Naar hoofdpagina

Gezamenlijke verwerkings-
verantwoordelijkheid

Jouw organisatie en de andere partij maken gezamenlijk dan wel aanvullend op elkaar beslissingen omtrent het doel en de middelen van de verwerking.

Tekenen: Gezamenlijke verwerkingsovereenkomst

< Vorige
Naar hoofdpagina