De verwerker (onder de Wbp ‘bewerker’) is in deze AVG-serie al regelmatig zijdelings aan bod gekomen, maar onze specifieke aandacht heeft deze tot nu toe nog niet gekregen. In dit deel van onze AVG-serie zal daarom inzichtelijk worden gemaakt welke veranderingen er plaatsvinden voor de verwerker onder de Algemene Verordening Gegevensbescherming (‘AVG’).
Terminologie
Om te beginnen wordt de bewerker onder de AVG dus voortaan de ‘verwerker’ genoemd. De betekenis blijft echter hetzelfde als onder de Wet bescherming persoonsgegevens (‘Wbp’). In de Engelse versie van de AVG blijft de terminologie overigens ongewijzigd (‘processor’).
De verwerker is de partij die in opdracht van de verwerkingsverantwoordelijke (onder de Wbp ‘verantwoordelijke’) persoonsgegevens verwerkt. Verwerking is een zeer ruim begrip. Van verwerking is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of uitgewist.
Voorbeelden van organisaties die een verwerkersrol vervullen, zijn softwareleveranciers, website hosts en administratiekantoren.
Zelfstandige verplichtingen
Onder de AVG gaan er rechtstreekse wettelijke verplichtingen op de verwerker rusten. Wij gaan hierna in op een aantal expliciete verplichtingen.
Verwerkersovereenkomst
Onder de AVG rust uitdrukkelijk op zowel de verwerker als de verwerkingsverantwoordelijke de verplichting tot het sluiten van een verwerkersovereenkomst (onder de Wbp ‘bewerkersovereenkomst’). De onderwerpen die in een verwerkersovereenkomst moeten worden opgenomen, vindt u hier.
Sub-verwerker
In de AVG is expliciet bepaald dat de verwerker slechts een sub-verwerker mag inschakelen met voorafgaande toestemming van de verwerkingsverantwoordelijke. Deze toestemming kan algemeen of specifiek zijn. Als de toestemming slechts algemeen en schriftelijk is gegeven, bijvoorbeeld in een verwerkersovereenkomst, moet de verwerkingsverantwoordelijke worden ingelicht over een beoogde inschakeling of vervanging van een sub-verwerker en moet de verwerkingsverantwoordelijke daartegen bezwaar kunnen maken.
Als de verwerkingsverantwoordelijke voornoemde toestemming heeft gegeven, moet de verwerker aan de sub-verwerker dezelfde verplichtingen voor de verwerking van persoonsgegevens opleggen als de verplichtingen die voor de verwerker zelf gelden. Dit kan door middel van een sub-verwerkersovereenkomst. De verwerker is volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het niet nakomen van verplichtingen door de sub-verwerker.
Beveiligingsmaatregelen
Onder de Wbp is de verwerkingsverantwoordelijke verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen. Vanaf 25 mei 2018 is ook de verwerker hiertoe op grond van de tekst van de wet rechtstreeks verplicht. Onder de AVG is de verwerker bovendien rechtstreeks aanspreekbaar voor schade die ontstaat als gevolg van een onvoldoende beveiligingsniveau. U kunt hier meer lezen over beveiliging van persoonsgegevens.
Meldplicht datalekken
In de AVG is voor de verwerker de uitdrukkelijke de rechtstreekse verplichting opgenomen om een datalek te melden bij de verwerkingsverantwoordelijke. De verwerker moet de verwerkingsverantwoordelijke zonder onredelijke vertraging na ontdekking van een datalek informeren, zodat de verwerkingsverantwoordelijke op zijn beurt kan voldoen aan de verplichting om het datalek tijdig te melden bij de toezichthouder en onder omstandigheden de betrokkene(n). Meer informatie over de meldplicht datalekken leest u hier.
Verwerkingsregister
Onder de AVG zijn zowel de verwerker als de verwerkingsverantwoordelijke verplicht een register van verwerkingsactiviteiten bij te houden. Het verwerkingsregister van de verwerker hoeft overigens minder categorieën van informatie te bevatten dan het register van de verwerkingsverantwoordelijke. Hier leest u meer over het verwerkingsregister en over de informatie die daarin door de verwerker moet worden opgenomen.
Functionaris voor de gegevensbescherming
Op grond van de AVG wordt de verwerker onder omstandigheden verplicht tot het aanstellen van een functionaris voor de gegevensbescherming (FG), die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. U kunt hier meer lezen over de FG en over de omstandigheden waarin het aanstellen van een FG verplicht is.
Medewerking
In de AVG is voor zowel de verwerker als de verwerkingsverantwoordelijke de expliciete verplichting opgenomen om desgevraagd medewerking te verlenen aan de toezichthouder bij het vervullen van haar taken.
Op grond van de AVG rust op de verwerker bovendien de verplichting om bijstand te verlenen aan de verwerkingsverantwoordelijke bij het vervullen van zijn verplichtingen, zoals het beantwoorden van verzoeken van betrokkenen of het (laten) uitvoeren van een Data Protection Impact Assessment. Ook moet de verwerker audits mogelijk maken en daaraan bijdragen. Deze verplichtingen moeten overigens ook worden vastgelegd in een verwerkersovereenkomst.
Aansprakelijkheid en boetes
Tot slot vinden onder de AVG een verruiming van de aansprakelijkheid en een verandering in de hoogte van de boetes plaats. Wanneer de verwerker en de verwerkingsverantwoordelijke betrokken zijn bij dezelfde verwerking die in strijd is met de AVG, kunnen zij ieder aansprakelijk worden gehouden voor de volledige schade die daaruit voortvloeit. De partij die de volledige schade heeft vergoed, kan vervolgens (een deel van) de schade verhalen bij de andere partij(en).
Voor het niet nakomen van voornoemde zelfstandige verplichtingen, kan de verwerker bovendien rechtstreeks worden beboet met een bedrag tot € 10 miljoen of 2% van de totale wereldwijde jaaromzet in het geval van een onderneming.