Gegevens

Gegevensverantwoordelijke of Gegevensverwerker: de positie en plichten van de verwerker onder de AVG

De AVG regelgeving legt enkele verplichtingen op voor de verwerkingsverantwoordelijke en de verwerker. Beide partijen hebben specifieke plichten om de beveiliging van persoonsgegevens goed te regelen en om privacy by design te reguleren. Maar wat zijn nu de belangrijkste verplichtingen voor de verantwoordelijke en de verwerker? En wat is er veranderd t.o.v. de huidige Wet bescherming persoonsgegevens?

Een bewerker is de partij die voor de verantwoordelijke (in de AVG ‘verwerkingsverantwoordelijke’ genoemd) persoonsgegevens verwerkt, bijvoorbeeld een partij die een website host of een leverancier van een CRM-programma in de cloud. De definitie van ‘bewerker’ (onder de AVG ‘verwerker’ genoemd) is nagenoeg gelijk gebleven, maar er zijn wel een aantal belangrijke verschillen voor de bewerker in de huidige AVG ten opzichte van de vorige privacywetgeving. De bewerker krijgt namelijk verschillende zelfstandige verplichtingen, waarvoor hij ook beboet kan worden bij overtreding. De belangrijkste verplichtingen leggen we hieronder kort uit.

 

Verwerkersovereenkomst

Voor 25 mei was het de plicht van de verantwoordelijke om een bewerkersovereenkomst te sluiten met een bewerker. Nu is dit een gedeelde verantwoordelijkheid. Zowel de verantwoordelijke als de verwerker kunnen nu worden aangesproken op het niet afsluiten van een bewerkersovereenkomst (onder de AVG: ‘verwerkersovereenkomst’). De verwerkersovereenkomst moet onder meer afspraken bevatten aangaande vertrouwelijkheid, beveiligingsmaatregelen, datalekken, eventuele sub-bewerkers (zie verderop in dit artikel), audits en de rechten van betrokkenen.

 

Beveiligingsmaatregelen

In de vorige privacywetgeving rustte op de verantwoordelijke de verplichting om de bewerker voldoende waarborgen te laten treffen ten aanzien van de technische en organisatorische beveiliging. De beveiligingsmaatregelen zijn in de AVG iets concreter gemaakt, en het is ook een verplichting van de verwerker om deze maatregelen te nemen. De verwerker is zelf aansprakelijk voor alle schade die voortvloeit uit het niet op orde hebben van zijn beveiliging.

 

Passende technische en organisatorische maatregelen die beide partijen moeten nemen zijn onder andere:

 

  • het versleutelen van gegevens

  • het kwalitatief goed inregelen van de diensten en systemen waarmee de verwerking plaatsvindt

  • het waarborgen dat gegevens niet permanent verloren gaan bij een incident

  • en het testen en evalueren van de beveiliging

 

 

Sub-verwerkers

Een verwerker mag niet zonder voorafgaande toestemming van de verantwoordelijke een andere verwerker (sub-verwerker) in dienst nemen. Wanneer een verantwoordelijke hier toestemming voor heeft gegeven, moet de sub-verwerker dezelfde verplichtingen opgelegd krijgen als de verwerker opgelegd heeft gekregen van de verantwoordelijke. Als de sub-verwerker zijn verplichtingen niet nakomt, blijft de (eerste) verwerker ten aanzien van de verantwoordelijke volledig aansprakelijk.

 

Datalekken

Een verwerker is verplicht een datalek te melden bij de verantwoordelijke. Dat was een bewerker voor 25 mei ook al op grond van zijn zorgplicht, maar de AVG omschrijft het ook concreet. De verwerker moet de verantwoordelijke zonder onredelijke vertraging op de hoogte te stellen van een datalek, zodat deze op zijn beurt bínnen 72 uur een melding kan doen aan de Autoriteit Persoonsgegevens.

 

Verwerkingsregister

Een verwerker is onder de AVG ook verplicht een verwerkingsregister bij te houden indien hij structureel gegevens verwerkt, wanneer de verwerking risico’s inhoudt voor betrokkenen of als er bijzondere of strafrechtelijke gegevens worden verwerkt. Aangezien een verwerker vaak structureel gegevens verwerkt voor een verantwoordelijke, is zij meestal verplicht om een register bij te houden.

 

Dit register moet de naam en contactgegevens van de verwerker bevatten, de categorieën van verwerkingen, eventuele doorgifte aan derde landen, en een algemene beschrijving van de technische en organisatorische maatregelen. Het register moet schriftelijk worden vastgelegd. Een overzicht in Excel voldoet aan de schriftelijkheidsvereiste. PrivacyBlox heeft een tool ontwikkeld waarmee op gemakkelijke wijze het register met gegevensverwerkingen kan worden bijgehouden. Meer informatie hierover kan u hier vinden.

 

Functionaris voor de gegevensbescherming (FG)

De (in sommige gevallen) verplichting om een FG aan te wijzen, bijvoorbeeld bij het op grote schaal verwerken van gezondheidsgegevens, geldt zowel voor de verantwoordelijke als de verwerker. Als de verantwoordelijke voldoet aan de verplichting om een FG aan te wijzen, betekent dat niet automatisch dat de verwerker ook een FG moet aanwijzen. De Artikel 29-werkgroep raadt aan dat een FG van een verwerker ook toeziet op de activiteiten waarvoor die organisatie zelf verantwoordelijk is.

 

Aansprakelijkheid van een verantwoordelijke en een verwerker / bewerker

Een gegevensverantwoordelijke die betrokken is bij de verwerking, is aansprakelijk voor de schade die veroorzaakt wordt door de verwerking die inbreuk maakt op AVG. 

Een verwerker is slechts aansprakelijk voor de schade die door een verwerking is veroorzaakt wanneer bij die verwerking niet is voldaan aan de specifieke tot verwerkers gerichte verplichtingen van de AVG. Hierbij kun je denken aan het zonder toestemming inschakelen van een sub-verwerker of het niet op orde hebben van de beveiliging. Daarnaast is een verwerker ook aansprakelijk wanneer hij in strijd heeft gehandeld met de instructies die de verantwoordelijke heeft gegeven.

 

Daarbij kan de Autoriteit Persoonsgegevens ook aan de verwerker een boete opleggen. De verantwoordelijke blijft aansprakelijk naar de betrokkene, maar de verwerker kan ook direct worden aangesproken door de betrokkene voor de gehele schade. Uiteraard kunnen partijen onderling verhaalsregelingen afspreken.

Een DPO nodig?
Wij helpen je bij het zoeken of opleiden van een DPO / FG
  • LinkedIn Link
  • Twitter Link

READYGDPR is een site van de  Ready Support Group 

Ready Support Group B.V.  |  KvK 71035095

Oude Enghweg 2

1217 JC  Hilversum

+31 35 713 09 70

 
BTW NL8585.54.707.B01  |  IBAN NL44BUNQ2206070952

copyrights 2019 Ready Support Group

Let op: dit formulier dient niet voor inschrijvingen in onze webinars. Die kunt u alleen hier boeken.