Nederland
Bel ons

De Algemene Verordening Gegevensbescherming: de rol van de vewerker

  • Home
  • Kennisbank
  • De Algemene Verordening Gegevensbescherming: de rol van de verwerker

De Algemene Verordening Gegevensbescherming: de rol van de vewerker

De aankomende Algemene Verordening Gegevensbescherming (AVG) is één van de meest veelbesproken stukken wetgeving van deze tijd. De AVG treedt in 2018 in werking en vervangt op dat moment de Nederlandse Wet bescherming persoonsgegevens (Wbp).

Opvallend is dat (een deel) van de verplichtingen uit de AVG niet alleen worden opgelegd aan de zogenaamde ‘verantwoordelijke’, zoals in huidige privacywetgeving het geval is, maar ook aan ‘verwerkers’.

Hieronder volgt een overzicht van de (belangrijkste) nieuwe verplichtingen voorverwerkers, opdat ook deze organisaties zich optimaal kunnen voorbereiden op de AVG.

Bent u verwerker?

De verwerker is diegene die persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het ‘in opdracht’ verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid.

Wanneer de verwerker naast het uitvoeren van de taken als verwerker ook de persoonsgegevens voor eigen doeleinden verwerkt, is voor dat deel van de verwerking sprake van mede-verantwoordelijkheid. Ook mag er geen sprake zijn van een hiërarchische verhouding tussen de verantwoordelijke en deverwerker.

Verplichtingen voor verwerkers

De AVG legt een aantal specifieke verplichtingen op aan verwerkers:

  • Verwerkers mogen alleen handelen in opdracht van de verantwoordelijke;
  • Verwerkers worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke;
  • Verwerkers moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen. Bewerkers moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?) wanneer sub-bewerkers worden ingezet en moeten de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen;
  • Verwerkers mogen niet langer nieuwe sub-bewerkers inschakelen zonder toestemming van de verantwoordelijke;
  • Verwerkers moeten de verantwoordelijke onverwijld op de hoogte stellen van een datalek. De termijn voor ‘onverwijld’ moet nog worden vastgesteld; in Nederlandse wetgeving is deze termijn met de introductie van de Wet Meldplicht datalekken door de Autoriteit Persoonsgegevens (AP) vastgesteld op 72 uur na ontdekking van het incident. Of deze termijn wordt aangehouden is onduidelijk;
  • Verwerkers zijn verplicht medewerking te verlenen bij een verzoek daartoe van de toezichthouder (in Nederland de AP) in het kader van de uitoefening van diens taken;
  • In bepaalde gevallen moet de bewerker, voorafgaand aan de verwerking van persoonsgegevens, de AP consulteren omtrent de effectieve bescherming van de rechten en vrijheden van betrokkenen of een Privacy Impact Assessment uitvoeren;
  • Verwerkers dienen in bepaalde gevallen zelf een privacy officer (of data officer) aan te stellen. Dit is bijvoorbeeld het geval wanneer de bewerker een publieke organisatie is, bij de verwerking sprake is van op grote schaal reguliere en systematische monitoring van betrokkenen of wanneer de primaire activiteiten van de verwerking bestaan uit het op grote schaal verwerken van bijzondere persoonsgegevens.

Het bovenstaande is een belangrijke wijziging voor iedereen die persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Verwerkers die niet aan deze verplichtingen voldoen, riskeren boetes tot €20 miljoen of 4% van hun jaaromzet. Hiermee is sprake van een significante vergroting van de wettelijke aansprakelijkheid voor bewerkers; zij worden met de inwerkingtreding van de AVG direct aansprakelijk voor het niet-nakomen van verplichtingen.

Dit was tot nu toe alleen indirect het geval, bijvoorbeeld via contractuele aansprakelijkheid. Bij het afsluiten van opdrachts- en vewerkersovereenkomsten tussen de verantwoordelijke en de bewerker is daarom te verwachten dat onderhandelingen over aansprakelijkheid een (nog) belangrijker element worden.

Te ondernemen acties in de komende tijd

De komende tijd dienen organisaties zich te storten op de benodigde onderhandelingen en op de implementatie van de nieuwe verplichtingen in bedrijfsprocessen, beleid en compliance in brede zin.

Hoewel de AVG pas over 2 jaar in werking treedt, wat de indruk wekt dat er nog voldoende tijd is voor de implementatie daarvan, is 2018 met het oog op de ingrijpende veranderingen voor verwerkers dichtbij.