Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Gezamenlijke verantwoordelijkheid in de AVG: licht in de duisternis?

Jeroen van Helden

29 oktober 2018 - 3 minuten leestijd

Verwerker, verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijken? Veel organisaties zullen weleens geworsteld hebben met die vraag bij het duiden van hun privacy-rol. In twee recente uitspraken geeft het Hof van Justitie van de Europese Unie uitleg over de gezamenlijke verwerkingsverantwoordelijkheid.

De twee kwesties kunnen zo mogelijk niet meer van elkaar verschillen. In de ene zaak staat een gemeenschap van Jehova’s getuigen centraal die van huis-tot-huis gaan en daarbij persoonsgegevens verzamelen. In de andere casus draait het om een beheerder van een fan-pagina op Facebook en het plaatsen van cookies.

Jehova’s getuigen

Een groep Jehova’s getuigen legt in Finland huis-tot-huis bezoeken af. Nadat het Goede Nieuws aan de deur is verkondigd, noteren zij naam, adres, gezinssituatie en geloofsovertuiging van de mensen die zij gesproken hebben. Dit doen zij zonder de betrokkenen te informeren of toestemming te vragen. De Finse privacywaakhond grijpt in en de gemeenschap als geheel wordt verboden. De gemeenschap vecht het verbod aan en de hoogste bestuursrechter in Finland besluit prejudiciële vragen te stellen.

In haar arrest van 10 juli 2018 stelt het Hof eerst vast dat de activiteiten van de groep niet beperkt blijven tot de privésfeer. Ook worden de verzamelde persoonsgegevens opgenomen in een gestructureerd verband dat als een ‘bestand’ kwalificeert als bedoeld in de privacywetgeving. De regels over de bescherming van persoonsgegevens zijn daarom van toepassing op de verwerkingen.

Vervolgens buigt het Hof zich over de vraag of de gemeenschap als mede verantwoordelijke kan worden gezien voor de verwerkingen door haar leden-verkondigers. De gemeenschap heeft geen toegang tot de verzamelde gegevens en geeft geen schriftelijke richtsnoeren of instructies voor de verwerkingen. De leden-verkondigers zijn relatief vrij om te bepalen in welke concrete gevallen zij persoonsgegevens over de bezochte personen verzamelen, welke gegevens zij precies verzamelen en hoe zij die gegevens later verwerken.

Het Hof oordeelt niettemin dat de gemeenschap medeverantwoordelijk is. De geloofsverkondigingsactiviteiten vormen een wezenlijk onderdeel van de activiteiten van de gemeenschap en liggen in lijn met de doelstellingen van de gemeenschap. De gemeenschap organiseert, coördineert en moedigt deze activiteiten aan. Dat is voor het Hof voldoende om gezamenlijke verantwoordelijkheid aan te nemen.

Beheerder van fan-pagina op Facebook

Het Duitse bedrijf Wirtschaftsakademie beheert een fan-pagina op Facebook. Zij gebruikt een door Facebook aangeboden tool om (geanonimiseerde) gegevens over bezoekers te verkrijgen, zoals gegevens over leeftijd, geslacht, relatiestatus, beroep en locatie. De data worden verzameld door middel van cookies die door Facebook op de apparatuur van bezoekers worden geplaatst wanneer zij de fan-pagina bezoeken. Facebook noch de academie informeert de bezoekers daarover of vraagt toestemming. In 2011 tikt de Duitse privacywaakhond de academie op de vingers. De academie wijst naar Facebook. Facebook plaatst de cookies, dus Facebook is volgens de academie verantwoordelijk. Het Duitse Bundesverwaltungsgericht besluit prejudiciële vragen te stellen aan het Europese Hof.

Op 5 juni 2018 doet de Grote Kamer uitspraak. Facebook plaatst feitelijk de cookies en gebruikt de daarmee verkregen data voor het verbeteren van haar advertentiesysteem. Facebook bepaalt, volgens het Hof, daarom primair het doel van en de middelen voor de gegevensverwerking.

Dit betekent volgens het Hof echter niet dat een pagina-beheerder geen enkele verantwoordelijkheid draagt. De beheerder gebruikt de data om de eigen pagina effectiever te maken en kan middels de tool-instellingen controle uitoefenen over de gegevens die worden verzameld en de wijze waarop deze worden verwerkt. Facebook en de beheerder zijn daarom volgens het Hof gezamenlijke verantwoordelijken.

Het Hof benadrukt dat gezamenlijke verantwoordelijkheid niet impliceert dat ook sprake is van gelijkwaardige verantwoordelijkheid.

Conclusie

Het Hof neemt gezamenlijke verwerkingsverantwoordelijkheid relatief snel aan. Niet nodig is dat een partij daadwerkelijk de beschikking krijgt over bepaalde data of gedetailleerde instructies geeft voor de verwerking van die data. Het organiseren, coördineren en aanmoedigen van bepaalde verwerkingen of de mogelijkheid om middels instellingen controle uit te oefenen over de gegevens die worden verzameld en de wijze waarop deze worden verwerkt, kan voldoende zijn om als een gezamenlijke verwerkingsverantwoordelijke aangemerkt te worden.

Het Hof zegt helaas weinig over de concrete verdeling van die verantwoordelijkheden. Voor de beheerder van een fan-pagina op een sociale media platform blijft het daarom enigszins gissen wat de privacywetgeving van hem verlangt. Vooralsnog doet die beheerder er verstandig aan zijn bezoekers duidelijk te informeren over de gegevens die over hen worden verzameld en voor welke doeleinden deze worden gebruikt, ten minste voor wat betreft zijn eigen aandeel daarin. 

Jeroen van Helden, advocaat IT, IE & Privacy

NB Bovengenoemde zaken hebben strikt genomen betrekking op de uitleg van de oude privacyrichtlijn, welke inmiddels vervangen is door de AVG. De uitspraken zijn echter ook voor het huidige wettelijke kader relevant, aangezien de relevante definities niet wezenlijk zijn veranderd.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?