Blog

AVG-serie: verwerker

De verwerker (onder de Wbp ‘bewerker’) is in deze AVG-serie al regelmatig zijdelings aan bod gekomen, maar onze specifieke aandacht heeft deze tot nu toe nog niet gekregen. In dit deel van onze AVG-serie zal daarom inzichtelijk worden gemaakt welke veranderingen er plaatsvinden voor de verwerker onder de Algemene Verordening Gegevensbescherming (‘AVG’). Terminologie Om te […]

De verwerker (onder de Wbp ‘bewerker’) is in deze AVG-serie al regelmatig zijdelings aan bod gekomen, maar onze specifieke aandacht heeft deze tot nu toe nog niet gekregen. In dit deel van onze AVG-serie zal daarom inzichtelijk worden gemaakt welke veranderingen er plaatsvinden voor de verwerker onder de Algemene Verordening Gegevensbescherming (‘AVG’).

Terminologie

Om te beginnen wordt de bewerker onder de AVG dus voortaan de ‘verwerker’ genoemd. De betekenis blijft echter hetzelfde als onder de Wet bescherming persoonsgegevens (‘Wbp’). In de Engelse versie van de AVG blijft de terminologie overigens ongewijzigd (‘processor’).

De verwerker is de partij die in opdracht van de verwerkingsverantwoordelijke (onder de Wbp ‘verantwoordelijke’) persoonsgegevens verwerkt. Verwerking is een zeer ruim begrip. Van verwerking is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of uitgewist.

Voorbeelden van organisaties die een verwerkersrol vervullen, zijn softwareleveranciers, website hosts en administratiekantoren.

Zelfstandige verplichtingen

Onder de AVG gaan er rechtstreekse wettelijke verplichtingen op de verwerker rusten. Wij gaan hierna in op een aantal expliciete verplichtingen.

Verwerkersovereenkomst

Onder de AVG rust uitdrukkelijk op zowel de verwerker als de verwerkingsverantwoordelijke de verplichting tot het sluiten van een verwerkersovereenkomst (onder de Wbp ‘bewerkersovereenkomst’). De onderwerpen die in een verwerkersovereenkomst moeten worden opgenomen, vindt u hier.

Sub-verwerker

In de AVG is expliciet bepaald dat de verwerker slechts een sub-verwerker mag inschakelen met voorafgaande toestemming van de verwerkingsverantwoordelijke. Deze toestemming kan algemeen of specifiek zijn. Als de toestemming slechts algemeen en schriftelijk is gegeven, bijvoorbeeld in een verwerkersovereenkomst, moet de verwerkingsverantwoordelijke worden ingelicht over een beoogde inschakeling of vervanging van een sub-verwerker en moet de verwerkingsverantwoordelijke daartegen bezwaar kunnen maken.

Als de verwerkingsverantwoordelijke voornoemde toestemming heeft gegeven, moet de verwerker aan de sub-verwerker dezelfde verplichtingen voor de verwerking van persoonsgegevens opleggen als de verplichtingen die voor de verwerker zelf gelden. Dit kan door middel van een sub-verwerkersovereenkomst. De verwerker is volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het niet nakomen van verplichtingen door de sub-verwerker.

Beveiligingsmaatregelen

Onder de Wbp is de verwerkingsverantwoordelijke verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen. Vanaf 25 mei 2018 is ook de verwerker hiertoe op grond van de tekst van de wet rechtstreeks verplicht. Onder de AVG is de verwerker bovendien rechtstreeks aanspreekbaar voor schade die ontstaat als gevolg van een onvoldoende beveiligingsniveau. U kunt hier meer lezen over beveiliging van persoonsgegevens.

Meldplicht datalekken

In de AVG is voor de verwerker de uitdrukkelijke de rechtstreekse verplichting opgenomen om een datalek te melden bij de verwerkingsverantwoordelijke. De verwerker moet de verwerkingsverantwoordelijke zonder onredelijke vertraging na ontdekking van een datalek informeren, zodat de verwerkingsverantwoordelijke op zijn beurt kan voldoen aan de verplichting om het datalek tijdig te melden bij de toezichthouder en onder omstandigheden de betrokkene(n). Meer informatie over de meldplicht datalekken leest u hier.

Verwerkingsregister

Onder de AVG zijn zowel de verwerker als de verwerkingsverantwoordelijke verplicht een register van verwerkingsactiviteiten bij te houden. Het verwerkingsregister van de verwerker hoeft overigens minder categorieën van informatie te bevatten dan het register van de verwerkingsverantwoordelijke. Hier leest u meer over het verwerkingsregister en over de informatie die daarin door de verwerker moet worden opgenomen.

Functionaris voor de gegevensbescherming

Op grond van de AVG wordt de verwerker onder omstandigheden verplicht tot het aanstellen van een functionaris voor de gegevensbescherming (FG), die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. U kunt hier meer lezen over de FG en over de omstandigheden waarin het aanstellen van een FG verplicht is.

Medewerking

In de AVG is voor zowel de verwerker als de verwerkingsverantwoordelijke de expliciete verplichting opgenomen om desgevraagd medewerking te verlenen aan de toezichthouder bij het vervullen van haar taken.

Op grond van de AVG rust op de verwerker bovendien de verplichting om bijstand te verlenen aan de verwerkingsverantwoordelijke bij het vervullen van zijn verplichtingen, zoals het beantwoorden van verzoeken van betrokkenen of het (laten) uitvoeren van een Data Protection Impact Assessment. Ook moet de verwerker audits mogelijk maken en daaraan bijdragen. Deze verplichtingen moeten overigens ook worden vastgelegd in een verwerkersovereenkomst.

Aansprakelijkheid en boetes

Tot slot vinden onder de AVG een verruiming van de aansprakelijkheid en een verandering in de hoogte van de boetes plaats. Wanneer de verwerker en de verwerkingsverantwoordelijke betrokken zijn bij dezelfde verwerking die in strijd is met de AVG, kunnen zij ieder aansprakelijk worden gehouden voor de volledige schade die daaruit voortvloeit. De partij die de volledige schade heeft vergoed, kan vervolgens (een deel van) de schade verhalen bij de andere partij(en).

Voor het niet nakomen van voornoemde zelfstandige verplichtingen, kan de verwerker bovendien rechtstreeks worden beboet met een bedrag tot € 10 miljoen of 2% van de totale wereldwijde jaaromzet in het geval van een onderneming.

Auteur

Expertises

Deel dit artikel

Meer blogs

EU-regelgeving maakt overstappen van Cloud- en edge leverancier makkelijker

De Europese Dataverordening maakt het overstappen tussen Cloud- en edgediensten makkelijker. In deze blog bespreken we de verplichtingen voor aanbieders van dataverwerkingsdiensten op grond van de Dataverordening, en de contractvoorwaarden die hieruit voortvloeien.

/LEES MEER

EU-regelgeving maakt overstappen van Cloud- en edge leverancier makkelijker

De Europese Dataverordening maakt het overstappen tussen Cloud- en edgediensten makkelijker. In deze blog bespreken we de verplichtingen voor aanbieders van dataverwerkingsdiensten op grond van de Dataverordening, en de contractvoorwaarden die hieruit voortvloeien.

Louwers IP&Tech Advocaten lanceert registratiepraktijk merken en modellen 

Na de aankondiging van onze nieuwe branding en website en nieuwe partner heeft Louwers IP&Tech Advocaten nog meer nieuws. Per februari 2024 zijn wij gestart met een eigen registratiepraktijk voor merken en modellen (design en productvormgeving). De registratiepraktijk wordt gerund door Lidian de Weert, Eva van Groezen en Nathalie van der Zande.

/LEES MEER

Louwers IP&Tech Advocaten lanceert registratiepraktijk merken en modellen 

Na de aankondiging van onze nieuwe branding en website en nieuwe partner heeft Louwers IP&Tech Advocaten nog meer nieuws. Per februari 2024 zijn wij gestart met een eigen registratiepraktijk voor merken en modellen (design en productvormgeving). De registratiepraktijk wordt gerund door Lidian de Weert, Eva van Groezen en Nathalie van der Zande.

Frank Rutgers treedt toe als partner bij Louwers IP&Tech Advocaten

Na bijna zeven jaar van waardevolle inzet is Frank Rutgers toegetreden als partner bij Louwers IP&Tech Advocaten. Deze stap is een mijlpaal voor Frank en ons kantoor. Het bevestigt onze ambities en positie als toonaangevende specialisten op het gebied van intellectuele eigendom, digitalisering, data en technologie.

/LEES MEER

Frank Rutgers treedt toe als partner bij Louwers IP&Tech Advocaten

Na bijna zeven jaar van waardevolle inzet is Frank Rutgers toegetreden als partner bij Louwers IP&Tech Advocaten. Deze stap is een mijlpaal voor Frank en ons kantoor. Het bevestigt onze ambities en positie als toonaangevende specialisten op het gebied van intellectuele eigendom, digitalisering, data en technologie.

Nieuwe branding en website!

Waarom een nieuwe huisstijl en website? En waarom de beeldelementen?

Wij zochten een frisse nieuwe stijl. De kleur groen staat vanaf de start van ons kantoor in 2006 voor onze frisse blik op zaken en verfrissende aanpak. In dit artikel meer uitleg.

/LEES MEER

Nieuwe branding en website!

Waarom een nieuwe huisstijl en website? En waarom de beeldelementen?

Wij zochten een frisse nieuwe stijl. De kleur groen staat vanaf de start van ons kantoor in 2006 voor onze frisse blik op zaken en verfrissende aanpak. In dit artikel meer uitleg.