De positie en plichten van de verwerker onder de AVG

Wij ontvangen regelmatig vragen over de aankomende Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 onze huidige Wet bescherming persoonsgegevens vervangt. Een van die vragen is of de positie van de bewerker gelijk blijft als de AVG van toepassing wordt.

Een bewerker is de partij die voor de verantwoordelijke (in de AVG ‘verwerkingsverantwoordelijke’ genoemd) persoonsgegevens verwerkt, bijvoorbeeld een partij die een website host of een leverancier van een CRM-programma in de cloud. De definitie van ‘bewerker’ (onder de AVG ‘verwerker’ genoemd) is nagenoeg gelijk gebleven, maar er zijn wel een aantal belangrijke verschillen voor de bewerker in de AVG ten opzichte van de huidige privacywetgeving. De bewerker krijgt namelijk verschillende zelfstandige verplichtingen, waarvoor hij ook beboet kan worden bij overtreding. De belangrijkste verplichtingen leggen we hieronder kort uit.

Verwerkersovereenkomst

Op dit moment is het de plicht van de verantwoordelijke om een bewerkersovereenkomst te sluiten met een bewerker. Na 25 mei wordt dit een gedeelde verantwoordelijkheid. Zowel de verantwoordelijke als de verwerker kunnen dan worden aangesproken op het niet afsluiten van een bewerkersovereenkomst (onder de AVG: ‘verwerkersovereenkomst’). De verwerkersovereenkomst moet onder meer afspraken bevatten aangaande vertrouwelijkheid, beveiligingsmaatregelen, datalekken, eventuele sub-bewerkers (zie verderop in dit artikel), audits en de rechten van betrokkenen.

Beveiligingsmaatregelen

In de huidige privacywetgeving rust op de verantwoordelijke de verplichting om de bewerker voldoende waarborgen te laten treffen ten aanzien van de technische en organisatorische beveiliging. De beveiligingsmaatregelen worden in de AVG iets concreter gemaakt, en het wordt ook een verplichting van de verwerker om deze maatregelen te nemen. De verwerker is zelf aansprakelijk voor alle schade die voortvloeit uit het niet op orde hebben van zijn beveiliging.

Passende technische en organisatorische maatregelen die beide partijen moeten nemen zijn onder andere:

  • het versleutelen van gegevens
  • het kwalitatief goed inregelen van de diensten en systemen waarmee de verwerking plaatsvindt
  • het waarborgen dat gegevens niet permanent verloren gaan bij een incident
  • en het testen en evalueren van de beveiliging

Sub-verwerkers

Een verwerker mag niet zonder voorafgaande toestemming van de verantwoordelijke een andere verwerker (sub-verwerker) in dienst nemen. Wanneer een verantwoordelijke hier toestemming voor heeft gegeven, moet de sub-verwerker dezelfde verplichtingen opgelegd krijgen als de verwerker opgelegd heeft gekregen van de verantwoordelijke. Als de sub-verwerker zijn verplichtingen niet nakomt, blijft de (eerste) verwerker ten aanzien van de verantwoordelijke volledig aansprakelijk.

Datalekken

Een verwerker is verplicht een datalek te melden bij de verantwoordelijke. Dat is een bewerker nu ook al op grond van zijn zorgplicht, maar de AVG omschrijft het ook concreet. De verwerker moet de verantwoordelijke zonder onredelijke vertraging op de hoogte te stellen van een datalek, zodat deze op zijn beurt bínnen 72 uur een melding kan doen aan de Autoriteit Persoonsgegevens.

Verwerkingsregister

Een verwerker is onder de AVG ook verplicht een verwerkingsregister bij te houden indien hij structureel gegevens verwerkt, wanneer de verwerking risico’s inhoudt voor betrokkenen of als er bijzondere of strafrechtelijke gegevens worden verwerkt. Aangezien een verwerker vaak structureel gegevens verwerkt voor een verantwoordelijke, is zij meestal verplicht om een register bij te houden.

Dit register moet de naam en contactgegevens van de verwerker bevatten, de categorieën van verwerkingen, eventuele doorgifte aan derde landen, en een algemene beschrijving van de technische en organisatorische maatregelen. Het register moet schriftelijk worden vastgelegd. Een overzicht in Excel voldoet aan de schriftelijkheidsvereiste. Ons zusterbedrijf PrivacyBlox heeft een tool ontwikkeld waarmee op gemakkelijke wijze het register met gegevensverwerkingen kan worden bijgehouden. Neem voor meer informatie contact op met ons!

Functionaris voor de gegevensbescherming (FG)

De (in sommige gevallen) verplichting om een FG aan te wijzen, bijvoorbeeld bij het op grote schaal verwerken van gezondheidsgegevens, geldt zowel voor de verantwoordelijke als de verwerker. Als de verantwoordelijke voldoet aan de verplichting om een FG aan te wijzen, betekent dat niet automatisch dat de verwerker ook een FG moet aanwijzen. De Artikel 29-werkgroep raadt aan dat een FG van een verwerker ook toeziet op de activiteiten waarvoor die organisatie zelf verantwoordelijk is.

Aansprakelijkheid van een verwerker / bewerker

Een verwerker is slechts aansprakelijk voor de schade die door een verwerking is veroorzaakt wanneer bij die verwerking niet is voldaan aan de specifieke tot verwerkers gerichte verplichtingen van de AVG. Hierbij kun je denken aan het zonder toestemming inschakelen van een sub-verwerker of het niet op orde hebben van de beveiliging. Daarnaast is een verwerker ook aansprakelijk wanneer hij in strijd heeft gehandeld met de instructies die de verantwoordelijke heeft gegeven.

Daarbij kan de Autoriteit Persoonsgegevens ook aan de verwerker een boete opleggen. De verantwoordelijke blijft aansprakelijk naar de betrokkene, maar de verwerker kan ook direct worden aangesproken door de betrokkene voor de gehele schade. Uiteraard kunnen partijen onderling verhaalsregelingen afspreken.

Voor meer informatie over de positie van de verwerker of andere privacy-gerelateerde vragen, neem contact op met onze specialisten.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Terug naar overzicht