In veel organisaties wordt gewerkt met gedeelde systemen: een gezamenlijke ledenadministratie, een clouddienst waarin iedereen bestanden opslaat, of een platform dat door meerdere partijen tegelijk wordt gebruikt. Dat is praktisch – maar ook een bron van verwarring als het om privacy en verantwoordelijkheid gaat. Wie is verantwoordelijk voor de persoonsgegevens? En wie moet actie ondernemen bij een datalek of verzoek tot verwijdering?
Dit artikel is onderdeel van het thema: Samenwerken en privacy
Wie is waarvoor verantwoordelijk?
Bij gezamenlijke systemen kun je te maken hebben met:
- Een leverancier die een platform aanbiedt (bijvoorbeeld een CRM- of boekingsplatform)
- Twee of meer organisaties die samen persoonsgegevens beheren (zoals een federatie met aangesloten verenigingen)
- Externe beheerders of zzp’ers die toegang hebben tot die systemen
De vraag is dan: ben je verwerkingsverantwoordelijke, verwerker of… allebei?
In sommige gevallen is één partij duidelijk de verwerkingsverantwoordelijke en de ander de verwerker. Maar als jullie samen bepalen hoe en waarom gegevens worden verwerkt, dan ben je waarschijnlijk gezamenlijk verwerkingsverantwoordelijken. En dan moeten er duidelijke afspraken worden vastgelegd in een samenwerkingsovereenkomst – dat is verplicht volgens de AVG.
Wat moet je dan regelen?
Bij gedeelde systemen moet je minstens het volgende vastleggen:
- Wie is aanspreekpunt voor betrokkenen (zoals leden of klanten)?
- Wie verwerkt welke persoonsgegevens, en met welk doel?
- Wie zorgt voor de beveiliging van het systeem?
- Wat gebeurt er bij een datalek of een verzoek tot inzage/verwijdering?
- Hoe worden de taken verdeeld bij het beheer van het systeem?
In AVG-support.nl kun je notities maken over gedeelde systemen en samenwerking. Gebruik dit om je documentatie op orde te houden.
Praktijkvoorbeeld 1: samenwerkende sportverenigingen
Een groep sportverenigingen gebruikt samen een online ledenadministratie. Ze bepalen gezamenlijk welke gegevens worden opgeslagen en hoe lang die worden bewaard. Ze zijn dus gezamenlijk verwerkingsverantwoordelijk.
Wat ze moeten doen: een samenwerkingsovereenkomst opstellen waarin al het bovenstaande is vastgelegd – inclusief wie de contactpersoon is bij klachten, hoe toegang wordt geregeld, en hoe een datalek wordt afgehandeld.
Praktijkvoorbeeld 2: een datalek door gedeelde clouddienst
Een stichting gebruikte een gedeelde Dropbox-map met een extern bureau. De map bevatte een bestand met persoonsgegevens van deelnemers aan een project. Per ongeluk werd een verkeerde map gedeeld met een oud-medewerker, die toegang hield tot deze gegevens – zonder dat iemand dit merkte.
Gevolg: een datalek dat gemeld moest worden bij de Autoriteit Persoonsgegevens. Omdat er geen duidelijke afspraken waren gemaakt over toegangsbeheer en monitoring, was het intern ook onduidelijk wie verantwoordelijk was voor opvolging.
Wat hier misging:
- Geen duidelijke taakverdeling
- Geen toezicht op toegangsrechten
- Geen procedure bij beëindiging van de samenwerking
Met heldere afspraken in een samenwerkingsovereenkomst had dit voorkomen kunnen worden.
Wat je in AVG-support.nl kunt vastleggen
Noteer welke systemen je deelt en met wie
Leg vast of je samenwerkt met andere verwerkingsverantwoordelijken of met een verwerker
Beschrijf wie welke rol heeft bij beveiliging, inzageverzoeken en incidenten
Zo zorg je ervoor dat je niet alleen technisch goed samenwerkt, maar ook juridisch en AVG-proof.
Download de gratis checklist: ben jij AVG OK?
Voldoet je organisatie aan de AVG-wetgeving? Check het eenvoudig met onze gratis checklist.
- 15 checks om gelijk uit te voeren
- Kom erachter of jij aan de AVG voldoet
- Direct inzicht in wat je nog moet regelen
