De AVG blijft vragen oproepen in de praktijk. Wanneer is iemand bijvoorbeeld verwerkingsverantwoordelijke? Is een contract of verwerkersovereenkomst daarvoor noodzakelijk? Het Europese Hof van Justitie heeft onlangs een verhelderend antwoord gegeven op deze vragen. Wat blijkt? Er is vrij weinig nodig om een partij als verwerkingsverantwoordelijke aan te merken.

De casus: een mobiele app zonder officiële opdracht

In 2020 gaf de minister van Volksgezondheid van de Republiek Litouwen onderhands opdracht om een systeem te ontwikkelen dat gegevens registreert en monitort van personen die aan het coronavirus blootgesteld zijn. Het nationale gezondheidscentrum van Litouwen (NVSC) nam daarvoor contact op met een IT-bedrijf voor de ontwikkeling van een app.

Per e-mail stuurde een vertegenwoordiger van het NVSC informatie over de verschillende aspecten van de ontwikkeling van deze applicatie. De app heeft vervolgens van begin april 2020 tot en met eind mei 2020 live gestaan in verschillende appstores. In die tijd verzamelde de app persoonsgegevens, zoals identiteitsnummer, naam, telefoonnummer en adres.

Interessant feitje:

er werd uiteindelijk nooit een officiële opdracht verleend of een contract getekend voor de ontwikkeling van deze app. Het NVSC stelt dat er aanbesteed had moeten worden en verzoekt het IT-bedrijf om alsnog alle verwijzingen naar haar uit de app weg te halen.

Schending AVG resulteert in geldboete

De app was geen lang leven beschoren.

Eind mei 2020 werd de app uit de appstores gehaald.

Begin 2021 kreeg het NVSC een boete van 12.000 euro vanwege het schenden van de AVG bij de verwerking van persoonsgegevens in deze app. Het IT-bedrijf kreeg een kleinere geldboete opgelegd als gezamenlijke verwerkingsverantwoordelijke.

Wanneer ben je verwerkingsverantwoordelijke volgens de AVG?

Het NVSC beweert nooit officieel opdracht te hebben gegeven voor het ontwikkelen van de app, daarom niet als verwerkingsverantwoordelijke te kunnen worden aangemerkt en start een rechtszaak. De rechter wil weten hoe hij de AVG in deze zaak moet interpreteren en stelt prejudiciële vragen aan het Europese Hof van Justitie.

Het gaat erom of een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen, als verwerkingsverantwoordelijke in de zin van de AVG kan worden aangemerkt als deze:

  • zelf geen persoonsgegevens heeft verwerkt;

  • geen overeenkomst gesloten heeft;

  • de app niet heeft aangekocht; en/of

  • geen toestemming heeft gegeven voor de verspreiding van deze applicatie via appstores.

Allereerst verwijst het Hof naar de definitie van een verwerkingsverantwoordelijke, zoals deze omschreven staat in de AVG.

Met een verwerkingsverantwoordelijke wordt gedoeld op een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, „het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.

Er is vastgesteld dat het NVSC opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen. In die context heeft de organisatie ook deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens via die applicatie. Ook zonder contract, aankoopbewijs of toestemming voor verspreiding kan het NVSC dus aangemerkt worden als verwerkingsverantwoordelijke.

De enige manier waarop ze hier onderuit kan komen, is als het NVSC zich vóór de beschikbaarstelling van de app aan het publiek uitdrukkelijk heeft verzet tegen de beschikbaarstelling en de verwerking van persoonsgegevens als gevolg daarvan.

Het is aan de rechter in Litouwen om te bepalen of dit wel of niet gebeurd is.

Belangrijke les: u bent eerder verwerkingsverantwoordelijke dan u denkt

Deze casus is interessant voor iedereen die apps of software laat ontwikkelen. Wees u ervan bewust dat u bij (onderhandse) opdrachten zonder verwerkersovereenkomst, contract of betaling al aangemerkt kunt worden als verwerkingsverantwoordelijke.

Als u invloed uitoefent op de vaststelling van het doel en de middelen voor de verwerking van persoonsgegevens kunt u gezien worden als verwerkingsverantwoordelijke.

Zorg daarom dat u altijd contractueel goed vastlegt waar uw verantwoordelijkheden liggen, maar vooral ook die van de verwerker met betrekking tot de verwerking van persoonsgegevens. Wat mag hij wel of juist niet doen met die gegevens?

Daarnaast komt uit dit arrest naar voren dat de verwerkingsverantwoordelijke de controle moet houden over de verwerker. Houd als verwerkingsverantwoordelijke dus voldoende toezicht op wat de verwerker doet.

Zeker weten dat u niks mist?

Abonneert u zich dan nu op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.