De AVG gaat over privacy, over de bescherming van de privacy van de natuurlijke persoon. Er worden in de AVG plichten opgelegd aan de organisaties die gegevens over een natuurlijke persoon “de betrokkene” verwerken. Dat verwerken is alles van raadplegen tot uitwisselen en zelfs vernietigen van gegevens. De natuurlijke persoon heeft alleen rechten op grond van de AVG en geen plichten.
De zwaarste plichten rusten uiteraard op de organisatie die kiest waarvoor de gegevens over de natuurlijke persoon verwerkt worden: die heeft een concreet eigen doel met die verwerking. Die organisatie is daar verantwoordelijk voor. De zwaarste verantwoordelijkheid rust dus op de verwerkingsverantwoordelijke.
In best veel gevallen bemerk je op een gegeven moment dat er meerdere organisaties zijn die allemaal zelf bepalen waarvoor de gegevens verwerkt worden: die hebben allemaal een eigen doel. Het doel van een gemeente kan een ander zijn dan van een huisarts.
Het kan ook zo zijn dat partijen gezamenlijk in overleg afspreken voor welk doelen gegevens over een natuurlijke persoon worden verwerkt. Hier bestaat eventueel een gezamenlijke verantwoordelijkheid.
Het kan soms ook zo zijn dat er slechts gegevens worden uitgewisseld: dan is er sprake van twee zelfstandige verwerkingsverantwoordelijken die alsnog iets over die uitwisseling moeten afspreken. Voor al die varianten zijn er overeenkomsten waarmee te allen tijde geborgd moet worden dat de juiste partijen de juiste verantwoordelijkheden blijven dragen én dat de natuurlijke persoon te allen tijde de rechten uit de AVG kan uitoefenen.
Die natuurlijke persoon is dus niet alleen bij OZO, maar ook bij de AVG volledig in regie. Die regie kan alleen bestaan wanneer wij de afspraken die wij onderling maken, ook transparant maken richting die natuurlijke persoon. Zo is de Samenwerkingsovereenkomst van OZO dan ook ingericht.