juli 2018

COLUMN

Maaike Blankert

Verantwoordelijke en verwerker onder de avg

you're in it together!

Maaike Blankert


WAT WAS…

Onder de Wet Bescherming Persoonsgegevens lagen de verplichtingen met betrekking tot de bescherming van persoonsgegevens in beginsel bij de verwerkingsverantwoordelijke en bleef de verwerker buiten schot. Dit terwijl de verantwoordelijke ook toen al met regelmaat afhankelijk was van de werk- en handelswijze van de verwerker, met name met betrekking tot het belangrijkste punt: de beveiliging van de gegevens.

WAT IS…

Nu de AVG in werking is getreden, is hier verandering in gekomen. Uitgangspunt is gebleven dat de verwerkingsverantwoordelijke hoofdverantwoordelijke is voor verwerking van persoonsgegevens die hij met een bepaald doel verzamelt en verwerkt. De AVG heeft echter ook een aantal verplichtingen voor de verwerker geïntroduceerd. De verwerker is medeverantwoordelijk geworden voor de verwerking van de persoonsgegevens die hij in opdracht van de verwerkingsverantwoordelijke verwerkt.

SAMENWERKEN IN GEGEVENSBESCHERMING

Meer dan ooit is het dus belangrijk dat verantwoordelijke en verwerker samenwerken in de bescherming van persoonsgegevens. Als basis hiervoor moeten partijen een verwerkersovereenkomst sluiten, een document dat de relatie tussen hen regelt. Hierin komen bepalingen te staan over onder meer het doel van verwerking, de aard van persoonsgegevens, beveiliging, sub-verwerkers, datalekken bij de verwerker en schade en boetes en hoe de vergoeding daarvan tussen partijen wordt verdeeld.

Partijen moeten echter verder samenwerken. De verwerker is namelijk verplicht om de verantwoordelijke te ondersteunen bij het uitvoeren van zijn taken en verplichtingen onder de AVG. Dit geldt ten aanzien van beveiliging, maar gaat ook verder. Wanneer een betrokkene bijvoorbeeld wilt weten welke persoonsgegevens van hem worden verwerkt, dan moet de verwerker de verantwoordelijke helpen bij het beantwoorden van deze vraag.

STAPSGEWIJS

Stap 1:
Breng in kaart welke persoonsgegevens door verwerkers worden verwerkt / van welke verantwoordelijke(n) persoonsgegevens worden verwerkt;

Stap 2:
Sluit een verwerkersovereenkomst die alle noodzakelijke bepalingen bevat;

Stap 3:
Houd met regelmaat contact met de Functionaris Gegevensbescherming/Privacy Officer van de verwerker en/of verantwoordelijke.

Maaike Blankert is advocaat bij Boels Zanders Advocaten in Eindhoven en gespecialiseerd in het Arbeidsrecht. Zij adviseert en procedeert over onderwerpen betreffende zowel het individuele als het collectieve arbeidsrecht en treedt op als sparringpartner voor directies en P&O functionarissen. Daarnaast is Maaike onderdeel van Team Privacy.