De Algemene Verordening Gegevensbescherming: de rol van de bewerker

Terug naar articles

22 februari, 2016

Algemene Verordening Gegevensbescherming | Considerati

De aankomende Algemene Verordening Gegevensbescherming (AVG) is één van de meest veelbesproken stukken wetgeving van deze tijd. De AVG treedt in 2018 in werking en vervangt op dat moment de Nederlandse Wet bescherming persoonsgegevens (Wbp).

Opvallend is dat (een deel) van de verplichtingen uit de AVG niet alleen worden opgelegd aan de zogenaamde ‘verantwoordelijke’, zoals in huidige privacywetgeving het geval is, maar ook aan ‘bewerkers’.

Hieronder volgt een overzicht van de (belangrijkste) nieuwe verplichtingen voor bewerkers, opdat ook deze organisaties zich optimaal kunnen voorbereiden op de AVG.

Bent u bewerker?

De bewerker is diegene die persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het ‘in opdracht’ verwerken van persoonsgegevens impliceert dat de bewerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De bewerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid.

Wanneer de bewerker naast het uitvoeren van de taken als bewerker ook de persoonsgegevens voor eigen doeleinden verwerkt, is voor dat deel van de verwerking sprake van mede-verantwoordelijkheid. Ook mag er geen sprake zijn van een hiërarchische verhouding tussen de verantwoordelijke en de bewerker.

Verplichtingen voor bewerkers

De AVG legt een aantal specifieke verplichtingen op aan bewerkers:

  • Bewerkers mogen alleen handelen in opdracht van de verantwoordelijke;
  • Bewerkers worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke;
  • Bewerkers moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen. Bewerkers moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?) wanneer sub-bewerkers worden ingezet en moeten de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen;
  • Bewerkers mogen niet langer nieuwe sub-bewerkers inschakelen zonder toestemming van de verantwoordelijke;
  • Bewerkers moeten de verantwoordelijke onverwijld op de hoogte stellen van een datalek. De termijn voor ‘onverwijld’ moet nog worden vastgesteld; in Nederlandse wetgeving is deze termijn met de introductie van de Wet Meldplicht datalekken door de Autoriteit Persoonsgegevens (AP) vastgesteld op 72 uur na ontdekking van het incident. Of deze termijn wordt aangehouden is onduidelijk;
  • Bewerkers zijn verplicht medewerking te verlenen bij een verzoek daartoe van de toezichthouder (in Nederland de AP) in het kader van de uitoefening van diens taken;
  • In bepaalde gevallen moet de bewerker, voorafgaand aan de verwerking van persoonsgegevens, de AP consulteren omtrent de effectieve bescherming van de rechten en vrijheden van betrokkenen of een Privacy Impact Assessment uitvoeren;
  • Bewerkers dienen in bepaalde gevallen zelf een privacy officer (of data officer) aan te stellen. Dit is bijvoorbeeld het geval wanneer de bewerker een publieke organisatie is, bij de verwerking sprake is van op grote schaal reguliere en systematische monitoring van betrokkenen of wanneer de primaire activiteiten van de verwerking bestaan uit het op grote schaal verwerken van bijzondere persoonsgegevens.

Het bovenstaande is een belangrijke wijziging voor iedereen die persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Bewerkers die niet aan deze verplichtingen voldoen, riskeren boetes tot €20 miljoen of 4% van hun jaaromzet. Hiermee is sprake van een significante vergroting van de wettelijke aansprakelijkheid voor bewerkers; zij worden met de inwerkingtreding van de AVG direct aansprakelijk voor het niet-nakomen van verplichtingen.

Dit was tot nu toe alleen indirect het geval, bijvoorbeeld via contractuele aansprakelijkheid. Bij het afsluiten van opdrachts- en bewerkersovereenkomsten tussen de verantwoordelijke en de bewerker is daarom te verwachten dat onderhandelingen over aansprakelijkheid een (nog) belangrijker element worden.

Te ondernemen acties in de komende tijd

De komende tijd dienen organisaties zich te storten op de benodigde onderhandelingen en op de implementatie van de nieuwe verplichtingen in bedrijfsprocessen, beleid en compliance in brede zin.

Hoewel de AVG pas over 2 jaar in werking treedt, wat de indruk wekt dat er nog voldoende tijd is voor de implementatie daarvan, is 2018 met het oog op de ingrijpende veranderingen voor bewerkers dichtbij.

Gewijzigde terminologie

Met de implementatie van de AVG zullen ook een aantal termen uit de huidige Wbp worden gewijzigd. Voor het gemak zijn in bovenstaande stuk de nu gangbare termen gebruikt. Voor toekomstig gebruik volgt hier alvast een overzicht van de meest gebruikte gewijzigde termen:

Wet bescherming persoonsgegevens vs.  Algemene Verordening Gegevensbescherming
Verantwoordelijke = Verwerkingsverantwoordelijke
Bewerker = Verwerker
Privacy Officer / Functionaris Gegevensbescherming = Data Protection Officer (DPO)
Bijzondere persoonsgegevens = Bijzondere categorieën van persoonsgegevens of speciale categorieën van persoonsgegevens.

Considerati20150514_-Nathalie0003
Nathalie Falot

Senior Juridisch Adviseur

Gerelateerde blogs

FCC start onderzoek naar de gevaren van ‘supercookies’

De Federal Communications Commission (FCC) heeft aangegeven een onderzoek te starten naar het...

Lees meer

Cyberincidenten en nieuwe wetgeving: is uw organisatie voorbereid?

Begin deze maand berichtte de Volkskrant dat het aantal digitale aanvallen op websites en ICT- en...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.