Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.

Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

• het doel van de verwerking (bv. klantenloyaliteit);
• de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
• wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
• indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
• waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
• waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

Meer informatie:

• De regels naleven

De AVG maakt onderscheid tussen twee hoofdrollen: die van de verwerkingsverantwoordelijke en de gegevensverwerker. Dit onderscheid is van cruciaal belang omdat de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.

Verwerkingsverantwoordelijken en verwerkers kunnen natuurlijke personen of rechtspersonen zijn, bijvoorbeeld: een overheidsinstantie, een bedrijf, een stichting, een overheidsinstantie, een vereniging enz.
Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt de wijze van en het doel van de verwerking. Verwerkers verwerken persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerking door verwerkers moet worden geregeld in een overeenkomst met de verwerkingsverantwoordelijke of met een andere rechtshandeling.

Voorbeelden van verwerkingsverantwoordelijken:

• bedrijven die de persoonsgegevens van hun klanten verwerken om een verkoop te voltooien;
• financiële instellingen die persoonsgegevens van hun cliënten verwerken;
• verenigingen die de gegevens van hun leden verwerken;
• scholen of universiteiten die persoonsgegevens van studenten en docenten verwerken;
• ziekenhuizen die persoonsgegevens van hun patiënten verwerken;
• overheidsinstanties die persoonsgegevens van burgers verwerken.

Voorbeelden van gegevensverwerkers:

• een mkb huurt een boekhouddienst in om zijn boeken en administratie bij te houden, het mkb is een gegevensbeheerder en de boekhouddienst een gegevensverwerker;
• een payroll-bedrijf verwerkt persoonsgegevens voor een mkb. Het payroll-bedrijf treedt op als verwerker als zij de persoonsgegevens uitsluitend namens het mkb verwerkt. Het mkb bepaalt het doel en de middelen van de gegevensverwerking en is dus verantwoordelijk voor de verwerking.
• een mkb geeft een marketingbedrijf opdracht om e-mailadressen te verzamelen via websites van derden. Het marketingbedrijf doet dit volgens de uitdrukkelijke instructies van het mkb en voor de exclusieve doeleinden van het mkb. Het marketingbedrijf treedt op als verwerker voor deze verzameling.
   

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

De FG kan een bestaande werknemer zijn met voldoende kennis van de AVG (als de professionele taken van de werknemer verenigbaar zijn met die van de FG en dit niet leidt tot belangenconflicten) of een externe persoon. De FG moet taken onafhankelijk kunnen uitvoeren en rechtstreeks aan het hoogste management kunnen rapporteren.

Meer informatie:

• Functionarisgegevensbescherming

Als jouw organisatie de persoonsgegevens direct bij personen verzamelt, moet jij de nodige informatie verstrekken op het moment van verzameling.

In geval van indirecte verzameling van persoonsgegevens moet jouw organisatie de informatie uiterlijk één maand nadat de persoonsgegevens in eerste instantie zijn verkregen, verstrekken. Deze maximale periode van één maand kan worden verkort:

• als de persoonsgegevens worden gebruikt voor de communicatie met de betrokkene. In dat geval moet je de betrokkene uiterlijk op het moment van de eerste mededeling aan de betrokkene op de hoogte stellen;
• indien de gegevens aan een andere ontvanger worden doorgegeven, stelt de organisatie de betrokkenen hiervan op de hoogte wanneer de persoonsgegevens worden doorgegeven. 

Meer informatie:

• Respecteer de rechten van individuen
   

Individuen kunnen jou vragen of jij hun gegevens verwerkt en waar dit het geval is, Zij hebben recht op toegang tot die gegevens. Dus wanneer dit gebeurt en als jij hun gegevens verwerkt, moet jij bijvoorbeeld kosteloos een kopie van hun persoonsgegevens verstrekken, samen met eventueel noodzakelijke aanvullende informatie. Wanneer een verzoek elektronisch wordt ingediend, moet jouw organisatie de vereiste informatie verstrekken in een gangbaar elektronisch formaat, tenzij de betrokkene anders verzoekt.

Meer informatie:

• Respecteer de rechten van individuen

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

• Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
• Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

• Datalekken

In de overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker moet worden bepaald dat de gegevensverwerker:

• de persoonsgegevens alleen verwerkt in opdracht van de verwerkingsverantwoordelijke, ook met betrekking tot de doorgifte van persoonsgegevens naar een land buiten de EER;
• ervoor zorgt dat de personen die gemachtigd zijn om de gegevens te verwerken zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben;
• voor de veiligheid van de verwerking zorgt;
• geen andere gegevensverwerker in mag schakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke;
• de verwerkingsverantwoordelijke bijstaat bij de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te reageren op verzoeken van een persoon om diens rechten uit te oefenen;
• de verwerkingsverantwoordelijke ondersteunt bij het beveiligen van de verwerking, het melden van datalekken en het uitvoeren van DPIA’s;
• op verzoek van de verwerkingsverantwoordelijke alle persoonsgegevens na beëindiging van de dienstverlening aan de verwerkingsverantwoordelijke verwijdert of terugstuurt;
• de verwerkingsverantwoordelijke alle nodige informatie ter beschikking stelt om de naleving van de verplichtingen uit hoofde van de AVG aan te tonen;
• audits mogelijk maakt en bijdraagt hieraan, met inbegrip van inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die door de verwerkingsverantwoordelijke is gemachtigd.

Bovendien stelt de gegevensverwerker de verwerkingsverantwoordelijke onmiddellijk op de hoogte als, naar zijn mening, instructies inbreuk maken op de AVG of andere EU- of nationale bepalingen inzake gegevensbescherming.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

De AVG of de algemene verordening gegevensbescherming stelt een geharmoniseerde reeks regels vast die van toepassing zijn op alle verwerking van persoonsgegevens door (publieke of particuliere) organisaties, ongeacht hun omvang, gevestigd in de Europese Economische Ruimte (EER) of gericht zijn op personen in de EU. Het primaire doel van de AVG is ervoor te zorgen dat persoonsgegevens overal in de EER dezelfde hoge beschermingsstandaard genieten, de rechtszekerheid voor zowel personen als organisaties die gegevens verwerken, te vergroten en een hoge mate van bescherming voor individuen te bieden.

De verordening is op 24 mei 2016 in werking getreden en is van toepassing sinds 25 mei 2018.