Checklist voor de verwerker

De voornaamste verplichtingen die voor de verwerker gelden zijn:

  • Sluit een waterdicht contract af met de verwerkingsverantwoordelijke. Dit is een verplichting. Sluit een contract af voor een minimale inhoud van dit contract. Als verwerker mag u de persoonsgegevens niet gebruiken voor doeleinden die niet zijn opgenomen in dit contract. Doet u dit toch, dan wordt u zelf als verwerkingsverantwoordelijke beschouwd voor die nieuwe doeleinden.

  • Werk je zelf met onderaannemers of verwerkers? Dat kan natuurlijk, maar hou rekening dat de verwerkings-verantwoordelijke hier vooraf mee akkoord moet gaan.

  • Veiligheid is een uiterst belangrijke verplichting voor een verwerker. Ook de verwerker moet passende technische en organisatorische maatregelen nemen om een veilige verwerking van de persoonsgegevens te waarborgen. Denk aan de gepaste veiligheidsmaatregelen.

  • Bewaar of verplaats je persoonsgegevens buiten de Europese Unie? Meld dit aan de verwerkings-verantwoordelijke en ga na of u zich kan beroepen op één van de mechanismen voor de doorgifte van persoonsgegevens buiten de Europese Unie.

  • De verplichting om een register van de verwerkingsactiviteiten bij te houden geldt op dezelfde manier voor verwerkers als voor verwerkingsverantwoordelijken (register verwerkingsactiviteiten).

  • Verwerkers moeten zelf nagaan of zij al dan niet een DPO ( Data Protection Officer) moeten aanstellen. Het feit dat de verwerkingsverantwoordelijke geen DPO aanstelt betekent niet dat de verwerker evenmin een DPO moet aanstellen.

  • De verplichting tot het uitvoeren van een GEB (Gegevensbeschermings-Effect-Beoordeling) rust in de eerste plaats op de verwerkings-verantwoordelijke. Verwerker moet verwerkingsverantwoordelijke bijstaan in de uitvoering van GEB.

  • De verplichtingen in verband met het houden van een logboek en het melden van inbreuken in verband met persoonsgegevens zijn in de eerste plaats gericht tot verwerkingsverantwoordelijken. De verwerker moet de verwerkingsverantwoordelijke bijstaan in de naleving van die verplichtingen en moet de inbreuk zonder onredelijke vertraging melden aan de verwerkingsverantwoordelijke (data breach).

  • Naast het opleggen van verplichtingen, kent de AVG rechten toe aan elke betrokkene. De betrokkene richt zich voor de uitoefening van die rechten tot de verwerkingsverantwoordelijke. De verwerker moet de verwerkingsverantwoordelijke echter bijstaan om de uitoefening van die rechten mogelijk te maken.

  • Op de verwerker rust ook een medewerkingsplicht ten opzichte van de GBA (GegevensBeschermingsAutoriteit).

  • Tot slot moet de verwerker de verwerkingsverantwoordelijke ook bijstaan voor de naleving van een aantal verplichtingen door deze laatste:

   1.   de beveiliging van de verwerking door de verwerkingsverantwoordelijke;
   2.   de uitoefening van de rechten door betrokkenen (zie hierboven);
   3.   de logging en de meldingsplicht voor inbreuken (zie hierboven) ;
   4.   het uitvoeren van een GEB door de verwerkingsverantwoordelijke;
   5.   het verstrekken van informatie aan GBA bij voorafgaande raadpleging in het kader van de GEB.