In de AVG wordt gesproken over de verantwoordelijk en de verwerker. De verantwoordelijke moet kunnen aantonen dat zij conform de privacywetgeving handelt. Daarnaast moet de verantwoordelijke weer een overeenkomst met de verwerker afsluiten. Wanneer is een persoon of organisatie een verantwoordelijke en wanneer een verwerker?
Indien een persoon of een organisatie persoonsgegevens verwerkt met een (specifiek) doel, wordt zij verantwoordelijke genoemd. Een verantwoordelijke bepaalt naast het doel van een verwerking, ook de middelen waarmee persoonsgegevens worden verwerkt.
De definitie van “verantwoordelijke”, ook wel verwerkingsverantwoordelijke genoemd, vindt men in artikel 4 AVG.
Een verantwoordelijke krijgt in de AVG een aantal verplichtingen waaraan zij moet voldoen indien zij persoonsgegevens wenst te verwerken. Een van de belangrijkste: het nemen van passende technische en organisatorische maatregelen om deĀ rechten en vrijheden van de betrokkenen te beschermen. Een verantwoordelijke moet kunnen aantonen dat het dergelijke maatregelen heeft genomen.
Andere verplichtingen voor de verantwoordelijke kunnen zijn:
De verwerker is de partij die namens de verantwoordelijke persoonsgegevens verwerkt. Een verwerker bepaalt dus niet zelf voor welk doel persoonsgegevens worden verwerkt. Doet een verwerker dat wel, dat kan de verwerker weleens verantwoordelijke worden ten aanzien van die verwerking.
Voorbeelden van verwerkers: