088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

BLOG: Bent u verwerker? Dan heeft de AVG mogelijk grote impact! – Op weg naar de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG is één wetgeving voor alle lidstaten van de Europese Unie. Daarom spreken we ook wel van de Europese Privacyverordening.

Hoe bereiden organisaties zich het beste voor op de aanstaande Europese Privacyverordening? In onze blogserie nemen wij je mee in de wereld van de AVG. Elke week behandelen wij een relevant AVG onderwerp, dat je helpt goed voorbereid de AVG tegemoet te gaan. Deze week: verplichtingen voor verwerkers.

Verwerker

In onze eerste blog staat centraal welke rollen binnen de AVG van belang zijn. Daarbij onderscheiden we de verwerkingsverantwoordelijke, de verwerker en de betrokkene. De verwerker is de partij die namens de verantwoordelijke de gegevensverwerking uitvoert, zonder direct onder diens gezag te staan. Bent u bijvoorbeeld dienstverlener op het gebied van IT beheer, leverancier van clouddiensten of verwerkt u data voor marketing- en advertentiebureaus? Dan bent u hoogstwaarschijnlijk verwerker binnen de context van de AVG. De AVG beschrijft in Artikel 28 en 29 duidelijk aan welke verplichtingen de verwerker moet voldoen. Deze kunnen impact hebben op uw huidige organisatie en dienstverlening. Zorg dat je als verwerker daarom goed weet wat er met de komst van de AVG voor jou mogelijk wijzigt.

Nieuwe verplichtingen

De invoering van de AVG legt meerdere specifieke verplichtingen op aan verwerkers. Onderstaand noemen wij een aantal belangrijke:

Aansprakelijkheid: de betrokkene (degene op wie de persoonsgegevens betrekking hebben) kan niet alleen de verantwoordelijke aansprakelijk stellen, maar ook de verwerker. Hierbij geldt dat de verwerker alleen aansprakelijk is:

  • voor schade die door een verwerking is veroorzaakt; of
  • wanneer de verwerker de instructies van de verantwoordelijk niet naleeft.

De wettelijke aansprakelijkheid voor verwerkers is binnen de AVG dus aanzienlijk groter! Binnen de AVG kunnen verwerkers direct aansprakelijk worden gesteld voor het niet nakomen van verplichtingen. De grote wijziging is dat er tot de komst van de AVG sprake is van indirecte aansprakelijkheid, veelal geregeld via de overeenkomst met de verantwoordelijke. Aansprakelijkheid vormt hiermee een zeer belangrijk onderdeel bij het afsluiten van verwerkersovereenkomsten.

Schriftelijke instructies: persoonsgegevens kunnen uitsluitend nog verwerkt worden op basis van schriftelijke instructies van de verantwoordelijke. Dit betekent dat de verwerker uitsluitend nog in opdracht van de verantwoordelijke verwerkt, gebaseerd op een schriftelijke instructie van de verantwoordelijke. Zorg er voor dat de verwerkingsopdracht en bijbehorende instructie gedocumenteerd zijn.

Register gegevensverwerking: niet alleen de verantwoordelijke, maar ook de verwerker moet in bepaalde gevallen een register van verwerkingsactiviteiten bijhouden. Dit betreft dan de verwerkingen die ten behoeve van de verantwoordelijke plaatsvinden. Dit register moet in schriftelijke vorm worden opgesteld. De verwerker moet het register ter beschikking stellen aan de toezichthoudende autoriteit, als deze daarom vraagt. Begin tijdig met het opstellen van een register. Want het in kaart brengen van alle verwerkingen die je als verwerker uitvoert, kan veel tijd in beslag nemen.

Sub-verwerkers: Wanneer je als verwerker zgn “subverwerkers” wilt inschakelen, dan mag dat met de komst van de AVG alleen nog maar wanneer de verantwoordelijke daarvoor toestemming geeft. Dit betekent dat je als verwerker goede afspraken met de verantwoordelijke (je opdrachtgever) moet maken over welke derde partijen je inschakelt bij de gegevensverwerking. Ook de toestemming moet je goed documenteren.

Data Protection Officer (DPO): In sommige gevallen ben je als verwerker verplicht een Data Protection Officer aan te stellen. Dit geldt wanneer je als verwerker bijvoorbeeld op grote schaal bijzondere persoonsgegevens verwerkt of bijvoorbeeld monitoringsactiviteiten op individuen uitvoert. De AVG stelt specifieke eisen aan de DPO. Mogelijk is aanvullende opleiding van je beoogd DPO noodzakelijk.

Datalekken: De verwerker is binnen de AVG verplicht om “zonder onredelijke vertraging” de verantwoordelijke te informeren over een datalek. Hiermee wordt verantwoordelijke in staat gesteld tijdig aan zijn meldplicht bij de toezichthoudende autoriteit te voldoen. Zorg rondom het onderwerp datalekken voor een protocol en bijbehorend meld- en herstelplan.

Begin tijdig!

Wanneer je als dienstverlener persoonsgegevens verwerkt voor (meerdere) opdrachtgevers, dan kan de AVG de nodige impact hebben. Door de verplichtingen die de AVG aan verwerkers stelt, zijn aanvullende maatregelen in bepaalde gevallen nodig. Een aantal daarvan kan veel voorbereidingstijd kosten: denk bijvoorbeeld aan het aanleggen en onderhouden van een register van gegevensverwerkingen of het inrichten en uitvoeren van de rol van Data Protection Officer. Begin daarom tijdig!

 

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl