Wie is de verantwoordelijke en de verwerker?

In de AVG wordt gesproken over de verantwoordelijk en de verwerker. De verantwoordelijke moet kunnen aantonen dat zij conform de privacywetgeving handelt. Daarnaast moet de verantwoordelijke weer een overeenkomst met de verwerker afsluiten. Wanneer is een persoon of organisatie een verantwoordelijke en wanneer een verwerker?

Verwerkingsverantwoordelijke AVGDe verantwoordelijke onder de AVG

Indien een persoon of een organisatie persoonsgegevens verwerkt met een (specifiek) doel, wordt zij verantwoordelijke genoemd. Een verantwoordelijke bepaalt naast het doel van een verwerking, ook de middelen waarmee persoonsgegevens worden verwerkt.

De definitie van “verantwoordelijke”, ook wel verwerkingsverantwoordelijke genoemd, vindt men in artikel 4 AVG.

Verplichtingen voor de verantwoordelijke

Een verantwoordelijke krijgt in de AVG een aantal verplichtingen waaraan zij moet voldoen indien zij persoonsgegevens wenst te verwerken. Een van de belangrijkste: het nemen van passende technische en organisatorische maatregelen om deĀ rechten en vrijheden van de betrokkenen te beschermen. Een verantwoordelijke moet kunnen aantonen dat het dergelijke maatregelen heeft genomen.

Andere verplichtingen voor de verantwoordelijke kunnen zijn:

Verwerker AVG
De verwerker onder de AVG

De verwerker is de partij die namens de verantwoordelijke persoonsgegevens verwerkt. Een verwerker bepaalt dus niet zelf voor welk doel persoonsgegevens worden verwerkt. Doet een verwerker dat wel, dat kan de verwerker weleens verantwoordelijke worden ten aanzien van die verwerking.

Voorbeelden van verwerkers:

  • een online CRM-systeem;
  • een hostingprovider die een server met persoonsgegevens host;
  • een nieuwsbriefprogramma die in opdracht nieuwsbrieven verstuurt;
  • het bedrijf dat in opdracht de kerstpakketten aan de werknemers toestuurt;
  • het online systeem dat de salarisverwerkingen uitvoert.