5 januari 2026
Verwerkingsverantwoordelijke of verwerker: waar ligt de beslissingsbevoegdheid?
AUTEUR
De manier om de verwerkingsverantwoordelijke te kwalificeren
Binnen de AVG is het onderscheid tussen de rol van verwerkingsverantwoordelijke en verwerker van fundamenteel belang. Toch blijkt dit onderscheid in de praktijk vaak lastig te maken. Organisaties worstelen regelmatig met de vraag: welke rol vervullen wij in deze specifieke verwerking, en welke verplichtingen horen daarbij? De scheidslijn tussen beide rollen is niet altijd scherp. Dit komt doordat de AVG geen formele of contractuele aanwijzing als uitgangspunt neemt, maar een feitelijke beoordeling vereist.
Feitelijke beoordeling staat centraal
De toewijzing van de rollen verwerkingsverantwoordelijke en verwerker wordt gebaseerd op een analyse van de feitelijke elementen en omstandigheden van het geval. Met andere woorden: het maakt niet doorslaggevend uit wat partijen onderling afspreken of hoe zij zichzelf contractueel positioneren. Het gaat om wat er in de praktijk daadwerkelijk gebeurt. Dit betekent ook dat onderhandelen over de rolverdeling weinig zin heeft als de feitelijke situatie daar niet mee in overeenstemming is. Een organisatie is niet automatisch verwerkingsverantwoordelijke of verwerker op basis van haar aard of positie, maar op basis van haar concrete activiteiten binnen een specifieke verwerking.
Beslissen over doel én middelen
Een belangrijk onderscheidend kenmerk van de verwerkingsverantwoordelijke is dat deze beslist over:
- het doel van de verwerking (waarom persoonsgegevens worden verwerkt), én
- de middelen van de verwerking (hoe die verwerking plaatsvindt).
Het is daarbij niet voldoende om alleen het doel vast te stellen. Wie uitsluitend bepaalt waarom gegevens worden verwerkt, maar geen invloed heeft op de middelen, kan niet zonder meer als verwerkingsverantwoordelijke worden aangemerkt. De combinatie van beide beslissingsbevoegdheden is essentieel.
Ruimte voor beslissingen door de verwerker
Het Europees Comité voor Gegevensbescherming (EDPB) erkent dat een verwerker in de praktijk niet volledig besluitloos is. Een verwerker mag binnen bepaalde kaders zelf keuzes maken over de uitvoering van de verwerking. Daarbij maakt het EDPB een belangrijk onderscheid tussen wezenlijke en niet-wezenlijke middelen.
Wezenlijke middelen, die zijn voorbehouden aan de verwerkingsverantwoordelijke, hebben onder meer betrekking op:
- het type persoonsgegevens dat wordt verwerkt;
- de duur van de verwerking;
- de categorieën van betrokkenen;
- de mate waarin gegevens worden gedeeld of gecombineerd.
Niet-wezenlijke middelen, waarover de verwerker beslissingsruimte heeft, zien vooral op de praktische uitvoering, zoals:
- de inrichting van processen;
- de keuze voor specifieke hardware of software;
- bepaalde technische en organisatorische beveiligingsmaatregelen.
Deze verdeling laat zien dat het feit dat een verwerker operationele keuzes maakt, niet automatisch betekent dat hij verwerkingsverantwoordelijke is.
Waarom een juiste roltoewijzing cruciaal is
Een onjuiste roltoewijzing kan verstrekkende gevolgen hebben. De verantwoordelijkheden, aansprakelijkheden en verplichtingen verschillen aanzienlijk per rol. Denk aan transparantieverplichtingen, het afsluiten van verwerkersovereenkomsten, het uitvoeren van DPIA’s en de meldplicht bij datalekken. Daarom is het essentieel om niet uit te gaan van aannames of standaardmodellen, maar om telkens opnieuw te kijken naar de feitelijke situatie.
Conclusie
Het onderscheid tussen verwerkingsverantwoordelijke en verwerker vraagt om een zorgvuldige, feitelijke analyse. De vraag wie beslist over het doel en de wezenlijke middelen van de verwerking is daarbij doorslaggevend. Twijfel over de rolverdeling? Dan is een grondige beoordeling van de concrete omstandigheden altijd de eerste en noodzakelijke stap.





