Kennisbank | Privacy & informatiebeveiliging

Onze kennisbank bevat praktische tools, templates en richtlijnen voor jouw sector.

Categorieën bekijken

Verwerker vs. Verwerkingsverantwoordelijke

Wat zijn de plichten van de verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke moet zorgen dat de verwerking van persoonsgegevens altijd op
een eerlijke, rechtmatige en transparante manier gebeurt.


A) Er moet worden voldaan aan onderstaande principes:

  • Rechtmatigheid, eerlijkheid en transparantie: Persoonsgegevens mogen alleen
    verzameld en verwerkt worden als daar een goede reden voor is. Dit moet op een eerlijke
    manier gebeuren en mensen moeten geïnformeerd worden over wat er met hun
    gegevens gebeurt en waarom.
  • Doelbinding: Persoonsgegevens mogen alleen worden verzameld voor een specifiek
    doel. Je mag ze niet zomaar voor iets anders gebruiken of omdat het handig is bepaalde
    persoonsgegevens te hebben.
  • Dataminimalisatie: Alleen de gegevens die écht nodig zijn, mogen worden verzameld.
    Meer informatie verzamelen dan noodzakelijk voor jouw specifieke doel, mag niet.
  • Juistheid: De persoonsgegevens moeten correct en actueel zijn. Verkeerde of
    verouderde gegevens moeten worden gecorrigeerd of verwijderd.
  • Opslagbeperking: Persoonsgegevens mogen niet langer worden bewaard dan nodig is.
    Zodra de gegevens niet meer nodig zijn, moeten ze worden verwijderd.
  • Integriteit en vertrouwelijkheid: De persoonsgegevens moeten goed beveiligd worden
    om te voorkomen dat ze verloren gaan, gestolen worden of in verkeerde handen vallen.
  • De verwerkingsverantwoordelijke is niet alleen verantwoordelijk voor het naleven van
    deze regels, maar moet ook kunnen aantonen dat dit goed gebeurt. Dit wordt ook wel de
    verantwoordingsplicht genoemd.


B) Er moet worden voldaan aan onderstaande concrete verplichtingen:

  • Het bijhouden van een register van verwerkingsactiviteiten (een overzicht van welke
    gegevens verwerkt worden, waarom en hoe lang etc..).
  • In sommige gevallen moet een functionaris voor gegevensbescherming (FG) worden
    aangesteld om toezicht te houden op de bescherming van persoonsgegevens.
  • Bij risicovolle verwerkingen moet vooraf een gegevensbeschermingseffectbeoordeling
    (DPIA) worden uitgevoerd om de risico’s in kaart te brengen.
  • De verwerkingsverantwoordelijke moet soms de Autoriteit Persoonsgegevens om
    advies vragen als er veel risico’s zijn bij de verwerking.
  • Er moeten technische en organisatorische maatregelen worden genomen om ervoor te
    zorgen dat persoonsgegevens goed beveiligd zijn. Dit wordt ook wel privacy by design en
    privacy by default genoemd. (Let op! De verwerkingsverantwoordelijke moet dus kunnen
    garanderen dat een verwerkende partij veilig genoeg is om gegevens mee te delen.)
  • In het geval van een datalek moet dit gemeld worden aan de Autoriteit
    Persoonsgegevens en soms ook aan de betrokkenen.
  • Er moeten schriftelijke afspraken worden gemaakt met bedrijven die de gegevens
    verwerken, zoals IT-leveranciers.
  • De verwerkingsverantwoordelijke moet de rechten van de betrokkenen respecteren,
    zoals het recht op inzage, correctie of verwijdering van hun gegevens. En hier ook op
    reageren.

Wat zijn de plichten van de verwerker?

De belangrijkste verplichtingen uit de AVG voor de verwerker zijn:

  • Volgt de instructies van de verantwoordelijke: De verwerker mag alleen gegevens
    verwerken volgens de opdrachten van de verwerkingsverantwoordelijke. Dit betekent dat
    de verwerker persoonsgegevens alleen mag gebruiken voor wat er schriftelijk is
    afgesproken.
  • Houd een register bij: De verwerker moet bijhouden welke soorten verwerkingen hij
    uitvoert voor de verwerkingsverantwoordelijke. Dit is net als voor de
    verwerkingsverantwoordelijke een verwerkingsregister waarin staat welke gegevens
    worden verwerkt en waarom.
  • Beveiligd de gegevens goed: De verwerker moet zorgen voor goede technische en
    organisatorische maatregelen om de persoonsgegevens te beschermen tegen diefstal,
    verlies of misbruik. Hoe beter de beveiliging, hoe kleiner het risico voor de mensen van
    wie de gegevens zijn.
  • Schakelt geen anderen in zonder toestemming: Als de verwerker een andere partij wil
    inschakelen (bijvoorbeeld een ander bedrijf om te helpen bij de verwerking), moet hij
    hiervoor eerst toestemming vragen aan de verwerkingsverantwoordelijke.
  • Meld datalekken meteen: Als er iets misgaat met de gegevens, bijvoorbeeld als ze
    gestolen worden of per ongeluk worden gedeeld, moet de verwerker dit zo snel mogelijk
    laten weten aan de verwerkingsverantwoordelijke.
  • Werkt samen met de toezichthouder: De verwerker moet de Autoriteit
    Persoonsgegevens helpen als die een onderzoek doet of vragen heeft over hoe de
    gegevens worden verwerkt.
  • Stelt soms een functionaris voor gegevensbescherming aan: In sommige gevallen
    moet de verwerker een functionaris voor gegevensbescherming (FG) aanstellen, iemand
    die toezicht houdt op de bescherming van persoonsgegevens binnen het bedrijf.
AVG & Grondslagen, Verwerkersovereenkomsten