Verwerkingsverantwoordelijke of gegevensverwerker

Wat is een verwerkingsverantwoordelijke?

Een verwerkingsverantwoordelijke bepaalt de doeleinden en middelen voor de verwerking van persoonsgegevens. Met andere woorden, de verwerkingsverantwoordelijke bepaalt het hoe en waarom van een gegevensverwerking. Een verwerkingsverantwoordelijke kan een rechtspersoon zijn, bijvoorbeeld een bedrijf, een overheidsinstantie, een agentschap of een ander orgaan.

In bepaalde gevallen kunnen de doeleinden en middelen voor de verwerking van persoonsgegevens, evenals de verwerkingsverantwoordelijke, worden bepaald door het recht van de EU of de lidstaten.

Wat is een gezamenlijke verwerkingsverantwoordelijke?

Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. 

Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende controllers kan ongelijk zijn. Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectieve verantwoordelijkheden voor de naleving van de AVG bepalen.
 

Wat zijn de verantwoordelijkheden van een verwerkingsverantwoordelijke of een gezamenlijke verwerkingsverantwoordelijke?

Bij het bepalen van de doeleinden en middelen voor de verwerking van persoonsgegevens moeten de verwerkingsverantwoordelijke of de gezamenlijke verwerkingsverantwoordelijken ervoor zorgen dat persoonsgegevens worden beschermd. 

Om dit te bereiken moet de verwerkingsverantwoordelijke, of gezamenlijke verwerkingsverantwoordelijken, maatregelen treffen om persoonsgegevens te beschermen en personen in staat te stellen hun rechten uit te oefenen.
Voor meer informatie, zie de checklist „Verantwoordelijkheden van de verwerkingsverantwoordelijke/gezamenlijke verwerkingsverantwoordelijke”
 

 

Wat is een gegevensverwerker?

Een verwerker handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke door persoonsgegevens namens de verwerkingsverantwoordelijke te verwerken.

Net als een verwerkingsverantwoordelijke of een gezamenlijke verwerkingsverantwoordelijke kan een gegevensverwerker een rechtspersoon zijn, bijvoorbeeld een bedrijf, een overheidsinstantie, een agentschap of een andere instantie.

Wat is een subverwerker?

Een subverwerker handelt volgens de instructies van de verwerker, wat betekent dat hij persoonsgegevens namens de verwerker mag verwerken. Ook een subverwerker kan een rechtspersoon zijn, bijvoorbeeld een bedrijf, een overheidsinstantie, een agentschap of een ander orgaan.

Een subverwerker kan alleen worden aangesteld als de verwerkingsverantwoordelijke, of de gezamenlijke verwerkingsverantwoordelijke, dit in schriftelijke vorm toestaat. Indien dit het geval is, moet de verwerker een bindend contract met de subverwerker opstellen waarin de verantwoordelijkheden van de subverwerker worden beschreven. Deze verwerker-subverwerkerovereenkomst moet voorzien in dezelfde bescherming van de persoonsgegevens als het oorspronkelijke contract voor aannemer-verwerker.

Wat zijn de verantwoordelijkheden van een verwerker?

Hoewel de algemene verantwoordelijkheid meestal bij de verwerkingsverantwoordelijke ligt, hebben gegevensverwerkers ook bepaalde verantwoordelijkheden onder de AVG. Verwerkers moeten de verwerkingen uitvoeren met passende technische en organisatorische maatregelen die zijn geïnstrueerd door de verwerkingsverantwoordelijke of de gezamenlijke verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de Algemene Verordening Gegevensbescherming.

De relatie tussen de verwerkingsverantwoordelijke en de verwerker, met inbegrip van de verantwoordelijkheden van de verwerker, moet worden beheerst door een contract waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden gedocumenteerd.

Zie voor meer informatie de checklist „Verwerkersverantwoordelijkheden”.

 

Wat moet ik opnemen in een verwerkersovereenkomst?

In de overeenkomst tussen de verwerkingsverantwoordelijke of de gezamenlijke verwerkingsverantwoordelijke en de verwerker moet worden bepaald dat de gegevensverwerker:

  • de persoonsgegevens alleen verwerkt in opdracht van de verwerkingsverantwoordelijke, ook met betrekking tot de doorgifte van persoonsgegevens naar een land buiten de EER;
  • ervoor zorgt dat de personen die gemachtigd zijn om de gegevens te verwerken zich aan geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben;
  • zorgt voor de veiligheid van de verwerking;
  • geen andere gegevensverwerker mag inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke, die een zinvolle mogelijkheid heeft om bezwaar te maken;
  • de verwerkingsverantwoordelijke bijstaat bij de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te reageren op verzoeken van een persoon om hun rechten uit te oefenen;
  • assisteert de verwerkingsverantwoordelijke bij het beveiligen van de verwerking, het melden van datalekken en het uitvoeren van DPIA’s;
  • naar keuze van de verwerkingsverantwoordelijke alle persoonsgegevens na beëindiging van de dienstverlening aan de verwerkingsverantwoordelijke verwijdert of terugstuurt;
  • de verwerkingsverantwoordelijke alle nodige informatie ter beschikking stelt om de naleving van de verplichtingen uit hoofde van de AVG aan te tonen;
  • audits mogelijk maakt en hieraan bijdraagt, met inbegrip van inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die door de verwerkingsverantwoordelijke is gemachtigd.

Wat moet ik opnemen in een verwerker-subverwerkerovereenkomst?

De overeenkomst tussen de verwerker en de subverwerker moet specifieke clausules bevatten die garanderen dat de te verwerken persoonsgegevens op dezelfde wijze worden beschermd als in de overeenkomst van de verwerkingsverantwoordelijke-verwerker.

 

Wie is aansprakelijk jegens wie?

Een verwerkingsverantwoordelijke, of gezamenlijke verwerkingsverantwoordelijke, is aansprakelijk voor zowel zijn eigen naleving van de AVG als de naleving van de gekozen verwerker. In concrete termen, als de verwerker zijn verplichtingen uit hoofde van de AVG niet nakomt, kan de verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke aansprakelijk worden gesteld en onderworpen zijn aan boetes en andere gevolgen indien van toepassing.

Een verwerker is aansprakelijk voor zowel zijn eigen naleving van de AVG als aansprakelijk jegens de verwerkingsverantwoordelijke voor schending van de opdrachtnemer-verwerker. Een verwerker kan ook aansprakelijk zijn jegens de verwerkingsverantwoordelijke voor de door de subverwerker veroorzaakte inbreuken. 

 

Checklist van verantwoordelijkheden

Checklist van de verantwoordelijkheden van de verwerkingsverantwoordelijke of van de gezamenlijke verwerkingsverantwoordelijke

  • Naleving van de beginselen inzake gegevensbescherming uit hoofde van art. 5 AVG
  • Handhaving van de gegevensbeschermingsrechten van personen
  • Bijhouden van verwerkingen
  • Waarborging van de veiligheid van de verwerking
  • Het kiezen van een geschikte gegevensverwerker
  • Detaillering in een bindende verwerkersovereenkomst 
  • Kennisgeving van inbreuken in verband met persoonsgegevens aan de relevante autoriteit voor gegevensbescherming van de EER en aan personen, indien van toepassing
  • Verantwoording afleggen voor de verwerkingen, het beoefenen van gegevensbescherming door ontwerp en wanbetaling, het uitvoeren van gegevensbeschermingseffectbeoordelingen indien nodig
  • Indien nodig een functionaris voor gegevensbescherming aanstellen
  • Naleving van de gegevensbeschermingsverplichtingen inzake internationale doorgiften van persoonsgegevens
  • Samenwerking met gegevensbeschermingsautoriteiten

Checklist voor verantwoordelijkheden van de verwerker

  • Volg de instructies van de verwerkingsverantwoordelijke
  • Bijhouden van verwerkingen
  • Waarborging van de veiligheid van de verwerking
  • Naleving en handhaving van de bindende verwerkersovereenkomst
  • De toestemming van de verwerkingsverantwoordelijke verkrijgen alvorens een nieuwe subverwerker in te schakelen (en de verwerkingsverantwoordelijke de mogelijkheid geven om bezwaar te maken). Indien van toepassing moet er een verwerkerscontract — subverwerkercontract worden opgesteld dat overeenkomt met het oorspronkelijke contract voor de aannemer/verwerker
  • Het melden van inbreuken in verband met persoonsgegevens aan de verwerkingsverantwoordelijke
  • Het melden van AVG-inbreuken aan de verwerkingsverantwoordelijke
  • Verantwoording afleggen voor de verwerkingen: bv. het beoefenen van gegevensbescherming door ontwerp & standaard
  • Indien nodig een functionaris voor gegevensbescherming aanstellen
  • Ervoor zorgen dat internationale overdrachten worden geautoriseerd door de verwerkingsverantwoordelijke en voldoen aan de AVG
  • Samenwerking met gegevensbeschermingsautoriteiten