Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. De AVG komt in plaats van de huidige Wet bescherming persoonsgegevens (Wbp). De AVG brengt een aantal veranderingen mee in de relatie tussen de verwerker en verwerkingsverantwoordelijke.

De verantwoordelijke is degene die het doel en de middelen van het gebruik van persoonsgegevens bepaalt. De bewerker/verwerker is degene die de gegevens verwerkt ten behoeve van de verantwoordelijke. De verwerker handelt dus in opdracht van de verantwoordelijke.

Bewerker/verwerker

De verwerker mag slechts handelen in opdracht van de verantwoordelijke en is gebonden aan geheimhouding. De verwerker mag geen subverwerkers inschakelen zonder toestemming van de verantwoordelijke. Ook is de verwerker verplicht om aan de verantwoordelijke informatie ter beschikking te stellen en de medewerking te verlenen die nodig is om de nakoming van de AVG aan te kunnen tonen. Denk hierbij aan audits. In bepaalde gevallen is een verwerker verplicht een functionaris voor de gegevensbescherming aan te stellen.

Boetes en aansprakelijkheden

De verwerker kan aansprakelijk worden gesteld voor schade op het moment dat de verwerker zijn verplichtingen onder de AVG niet nakomt. De aansprakelijkheidspositie van de verantwoordelijke verandert onder de AVG niet. De boetes zijn echter wel hoger dan onder de Wbp.

De verantwoordelijke en verwerker kunnen nadere afspraken maken over de verdeling van de aansprakelijkheids- en boeterisico’s in een verwerkersovereenkomst. Het is voor zowel de verantwoordelijke als de verwerker van belang om deze overeenkomst goed te beoordelen. Let daarbij onder andere op de verdeling van aansprakelijkheid en op eventuele beperking van aansprakelijkheid door de andere partij.  

Bij eventuele vragen over dit onderwerp, neemt u dan gerust contact op.