Artikel 1 sub e [Definitie bewerker]

Bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder dat hij diens ondergeschikte is. Hoewel het bewerkersbegrip van de WPR zich inhoudelijk onderscheidt van die van dit wetsvoorstel is desalniettemin ook in dit wetsvoorstel voor deze term gekozen in plaats van de in de richtlijn gebruikte term 'verwerker'. De term 'bewerker' brengt immers duidelijker tot uitdrukking dat verwerkingen kunnen plaatsvinden door verschillende personen, zoals de verantwoordelijke, bewerker en derde.
In tegenstelling tot de WPR waarin het bewerkersbegrip is gerelateerd aan de beschikking over verwerkingsapparatuur, is in het wetsvoorstel, in het verlengde van de richtlijn, gekozen voor een begripsinhoud die is losgekoppeld van de middelen waarmee de verwerking wordt gevoerd. Daarmee wordt beter ingespeeld op toekomstige technologische ontwikkelingen, die ertoe leiden dat het medium waarmee of waarlangs (geautomatiseerd gevoerde) gegevens worden gevoerd minder relevant wordt.
De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid. Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegevens gepaard gaat. De bewerker is allereerst een buiten de organisatie van de verantwoordelijke staande persoon of instelling. Het zal veelal gaan om een persoon of instelling die niet in een hiërarchische relatie tot de verantwoordelijke staat. Daar waar een hiërarchische relatie bestaat met de verantwoordelijke moet worden gesproken van (intern) beheer. De verantwoordelijke die gegevens te zijner behoeve buiten zijn rechtstreeks gezag verwerkt wil hebben is op grond van artikel 14, tweede lid, verplicht een overeenkomst met de bewerker aan te gaan.
Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz. Zou hij immers deze zeggenschap wel verwerven dan dient hij als verantwoordelijke te worden aangemerkt. Hieronder zal nader worden ingegaan op het bereik van het bewerkersbegrip.
Hoewel de verantwoordelijke verantwoordelijk en aansprakelijk is voor de gegevensverwerking door de bewerker (zie artikel 12), is ook de bewerker drager van rechten en plichten. Hij dient niet alleen de instructies van de verantwoordelijke op te volgen maar is eveneens zelfstandig aansprakelijk voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens (hoofdstukken 1 en 2 van dit wetsvoorstel). Deze aansprakelijkheid is expliciet neergelegd in artikel 49, derde lid. Indien de verantwoordelijke niet aansprakelijk is op grond van artikel 49, vierde lid, kan de bewerker aansprakelijk worden gesteld voor de schade die is ontstaan door zijn werkzaamheid. Hiermee blijft het acquis van de WPR (artikel 10) behouden.
Het bewerkersbegrip is in principe van toepassing op verschillende vormen van dienstverlening. Uitgangspunt is daarbij dat de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk. Een advocaat die namens een cliënt optreedt of een telemarketingbedrijf dat in opdracht van een derde onderzoek verricht, is bijvoorbeeld zelf verantwoordelijk voor de verwerking van persoonsgegevens die in het kader van hun taak plaatsvindt.
Bestaat de dienstverlening uit het verwerken van persoonsgegevens als zodanig, dan zijn verschillende varianten van het bewerkerschap mogelijk. Het bereik van het begrip wordt afgegrensd door enerzijds de interne beheerder die onder rechtstreeks gezag van de verantwoordelijke de gegevens verwerkt en daarom niet als bewerker kan worden aangemerkt en anderzijds het externe bureau dat zelfstandig in het kader van een opdracht van een bedrijf gegevens verwerkt en daarmee ook zelf als verantwoordelijke kan worden aangemerkt. De verantwoordelijke kan de verwerking opdragen aan een binnen zijn organisatie werkzaam persoon, de verwerking kan geschieden als een vorm van vertegenwoordiging van de verantwoordelijke, door een bewerker buiten de organisatie van de verantwoordelijke of door een extern bureau dat zelf als verantwoordelijke kan worden aangemerkt. Voor de afgrenzing van het begrip 'bewerker' ten opzichte van het begrip 'verantwoordelijke' is de inhoud van de overeenkomst die de bewerker sluit met de verantwoordelijke van belang. Daarnaast is echter ook van belang hoe zich het één en ander vervolgens in de praktijk feitelijk ontwikkelt. Als een extern bureau werkzaamheden verricht voor de verantwoordelijke en zich daarbij volledig aan de instructies van de verantwoordelijke onderwerpt en uitsluitend onder diens verantwoordelijkheid gegevens opslaat, is het extern bureau bewerker (Registratiekamer 20 september 1993, 93.C.052). Een pensioenadviesbureau kan echter niet meer als bewerker worden beschouwd indien zij de gegevens tevens gebruikt voor een informatiesysteem dat zich onttrekt aan de onderliggende contractuele relatie. In dat geval verkrijgt het bureau immers de gegevens (mede) ten behoeve van zichzelf en wordt het (mede) verantwoordelijke. Soms blijkt de uitvoeringsadministratie nagenoeg geheel aan een adviesbureau te zijn uitbesteed. De opdrachtgever oefent dan geen zeggenschap meer uit. Ook in een dergelijk geval is het adviesbureau (mede)verantwoordelijke en geen bewerker. De Registratiekamer noemt in haar advies een aantal vormen van dienstverlening met betrekking tot gegevensverwerking. Er is sprake van facilities management indien gebruik wordt gemaakt van de diensten van een serviceverlenend bedrijf op het gebied van de automatisering. 2 Dit bedrijf zet bijvoorbeeld een informatieverwerkend systeem ten aanzien van de salarisadministratie van de opdrachtgever onder eigen verantwoordelijkheid op, implementeert het en voert het uit ten huize van de opdrachtgever. Indien de opdrachtgever enkel de automatiseringsfunktie heeft uitbesteed en deze heeft losgekoppeld van de beleidsfunctie met betrekking tot de informatievoorziening (de aansturing, de zeggenschap over bijvoorbeeld welke gegevens worden opgenomen) en dit zodanig heeft neergelegd in zijn overeenkomst met het bureau, zal van het servicebureau niet kunnen worden gezegd dat het persoonsgegevens verwerkt. Brengt het ontwikkelen van het informatiesysteem met zich dat persoonsgegevens wel moeten worden verwerkt dan zal het bureau als bewerker moeten worden beschouwd. Soortgelijke opmerkingen kunnen worden gemaakt ten aanzien van de netwerkbeheerder. Een netwerkbeheerder is in de regel belast zijn met het inrichten, aanpassen en onderhouden van transmissienetten, inclusief de storingsbewaking. Het is mogelijk dat de verantwoordelijke de verwerking van persoonsgegevens uitbesteed aan meerdere bewerkers. Zo kan een servicebureau zorg dragen voor de automatisering van de financiële administratie van de opdrachtgever verzorgen terwijl de opdrachtgever de daadwerkelijke uitvoering van de administratie aan een ander bureau heeft toevertrouwd. Uit de verantwoordelijkheid van de opdrachtgever – die in de zin van de wet geldt als verantwoordelijke voor de gegevensverwerking – vloeit voort dat hij uitdrukkelijk heeft ingestemd met het subbewerkersschap. Indien de opdrachtgever daarvoor in zijn overeenkomst met de bewerker uitdrukkelijk ruimte heeft gegeven, kan de bewerker – met behoud van zijn volle aansprakelijkheid voor de naleving van zijn contract met de verantwoordelijke – delen van de verwerking uitbesteden aan 'subbewerkers'. De bewerker dient dan wel contractueel verzekerd te hebben dat de subbewerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. De verantwoordelijke dient hiervan wel op de hoogte te worden gesteld opdat deze in staat is toe te zien op de naleving van zijn afspraken met de bewerker (artikel 14).
Het is eveneens mogelijk dat in de overeenkomst tussen de dienstverlener en de opdrachtgever deze laatste zich de zeggenschap over de verwerking van persoonsgegevens voorbehoudt. Deze afspraak kan echter niet tot gevolg hebben dat de verantwoordelijkheid voor die verwerking anders komt te liggen dan uit de aard van de dienstverlening zou voortvloeien. Gelet op het feit dat een overeenkomst in principe alleen partijen kan binden, geldt dat de verantwoordelijke zich in dat geval alleen de verplichting aanvaardt om zich volgens de aanwijzingen van de opdrachtgever te gedragen. Aan de verantwoordelijkheid van de dienstverlener doet dit geen afbreuk. Dit geldt eveneens voor de wettelijke verplichtingen waaraan de verantwoordelijke zich moet houden.

[MvT, pagina 61]