Home

Wie is wie in de AVG: verwerkingsverantwoordelijke vs verwerker

Om de rechten van betrokkenen te beschermen is het cruciaal om een verwerkingsverantwoordelijke en verwerkers voor de dataverwerkingsactiviteit te kiezen, omdat deze individuen of teams aansprakelijk zijn voor de activiteiten in verschillende stadia van datamanagement. De wettelijke verplichtingen van deze rollen kunnen, gezien de complexe bedrijfsstructuren van vandaag de dag, verkeerd worden geïnterpreteerd. Hoewel de rol van verantwoordelijke en verwerker op het eerste gezicht op elkaar lijken, hebben ze een andere functie en andere wettelijke verplichtingen. Beiden kunnen worden ondersteund door het gebruik van effectieve AVG-compliance software. Dit artikel zet de twee begrippen kort uiteen en beschrijft de verschillende verplichtingen die beide rollen hebben.

Wat is een verwerkingsverantwoordelijke volgens de AVG?

Zoals de naam suggereert is een verwerkingsverantwoordelijke een natuurlijke persoon of rechtspersoon, publieke autoriteit, agentschap of ander persoon die alleen of met anderen samen het doel en de middelen van dataverwerkingsactiviteiten bepaalt.

Wat is een gegevensverwerker volgens de AVG?

Een gegevensverwerker is een natuurlijke persoon of rechtspersoon die namens de verantwoordelijke persoonsgegevens verwerkt. Verwerkers mogen enkel persoonsgegevens verwerken wanneer dat gebaseerd is op de gedocumenteerde instructies van de verantwoordelijke. Daarom kunt u voor een specifieke verwerkingsactiviteit nooit beide rollen tegelijk vervullen: u bent of een verantwoordelijke, of een verwerker.

Het is echter mogelijk om beide rollen tegelijk te vervullen voor verschillende verwerkingsactiviteiten. Voor de salarisadministratie van haar werknemers zal uw organisatie bijvoorbeeld de verantwoordelijke zijn. Maar in het geval van softwarediensten die aan andere organisaties worden aangeboden zal uw organisatie waarschijnlijk een verwerker zijn.

Wat zijn de verschillen tussen een verantwoordelijke en een verwerker?

Ten eerste is de verwerkingsverantwoordelijke de hoofdverantwoordelijke voor het voldoen van verzoeken van betrokkenen. De verantwoordelijke voert de rechten van betrokkenen uit of coördineert deze verzoeken, zoals het toegangsrecht of het recht op verwijdering (en vele andere onder art. 15-22).

Ten tweede bepaalt de verantwoordelijke het doel van de verwerkingsactiviteit. De verwerkingsverantwoordelijke is de belangrijkste beslissingsnemer over de persoonsgegevens. De verantwoordelijke aanvaardt de verplichtingen met betrekking tot het wettelijk doel van de verwerking, en zorgt ervoor dat de verwerking een goed gedefinieerd, concreet doel, en een gepaste wettelijke onderbouwing heeft.

Ten derde is de verantwoordelijke verantwoordelijk voor het uitsluitend in dienst nemen van verwerkers die voldoende technische en organisatorische maatregelen nemen, zodat de verwerking voldoet aan de vereisten van de AVG, en zodat daarmee de rechten van de betrokkene worden beschermd. Dit moet door middel van een contract (een verwerkingsovereenkomst) of soortgelijk juridisch instrument worden geregeld. De vereisten waar het contract aan moet voldoen worden uitdrukkelijk genoemd in artikel 28.

Het is belangrijk om te weten dat de verwerker volgens artikel 28(4) aan dezelfde eisen moet voldoen wat betreft de verwerkers die hij of zij in dienst neemt — deze worden subverwerkers genoemd. De verplichtingen die van toepassing zijn op de hoofdverwerker zijn ook van toepassing op de subverwerkers. Subverwerkers moeten evengoed passende technische en organisatorische maatregelen implementeren, op een manier waarop de verwerking overeen komt met de AVG (inclusief het gebruik van compliance software). De hoofdverwerker blijft echter volledig aansprakelijk voor de in dienst genomen subverwerkers (artikel 28(4)).

Er zijn daarnaast meerdere verschillen tussen verantwoordelijken en verwerkers met betrekking tot de administratieve verplichtingen volgens de AVG:

•    Artikel 30 vereist een inventaris van verwerkingsactiviteiten. De exacte gegevens die nodig zijn  van de verantwoordelijken en verwerkers verschillen: de registers van verwerkers hoeven minder gedetailleerd te zijn.

•    Artikel 33 en 34 behandelen datalekken. De verantwoordelijke moet de toezichthouder of de betrokkene op de hoogte stellen, terwijl de verwerker een datalek zonder onnodige vertraging moet melden aan de verantwoordelijke.

•    Artikel 35 en 36 beschrijven gegevensbeschermingseffectbeoordeling en voorafgaand overleg. Deze zijn nauw verwant aan de bepaling van de middelen voor, en het doel van de verwerkingsactiviteit. Daarom gelden deze verplichtingen voor de verantwoordelijke.

Hoe passen verwerkingsverantwoordelijken en gegevensverwerkers in het AVG-systeem?

De AVG vereist een sterke contractuele binding tussen verwerkers en subverwerkers. Hoewel de verantwoordelijke in veel gevallen overduidelijk de leiding heeft, kent het systeem van de AVG wettelijke verplichtingen toe aan de verwerkers en subverwerkers, om zo een ‘waterdicht systeem’ te creëren en aansprakelijkheidslekken te voorkomen.

Het systeem van de AVG functioneert als een ‘voortdurende voorwaarde’: de verantwoordelijke kent plichten toe aan de verwerker, die op zijn beurt dezelfde plichten aan subverwerkers moet opleggen, enzovoorts, ad infinitum. De keten van verantwoordelijke-verwerker kan geen verantwoordelijkheid en aansprakelijkheid ontlopen. Het begrijpen van deze twee begrippen en hun verschillen helpt uw organisatie met het identificeren van haar wettelijke plichten, en biedt begeleiding voor toekomstige verwerkingen van persoonsgegevens.

 
Laurens Mommers and Elif Kaya
PrivacyPerfect