Wat is een verwerkingsverantwoordelijke volgens de AVG?

De General Data Protection Regulation (GDPR) definieert een verwerkingsverantwoordelijke als "een persoon, overheidsinstantie, agentschap of ander orgaan die, alleen of gezamenlijk met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt" (European Parliament and Council, 2016). Deze rol omvat de verantwoordelijkheid om te beslissen waarom en hoe persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke identificeert niet alleen het doel van het gegevensgebruik, maar bepaalt ook de omvang van de gegevens die nodig zijn om dat doel te bereiken.

Bijvoorbeeld, een klein bedrijf dat klantinformatie verwerkt om verzendorders uit te voeren, kwalificeert als een verwerkingsverantwoordelijke. In dergelijke gevallen beslist het bedrijf over het doel (verzenden van producten) en bepaalt het welke gegevens (bijv. naam, adres) noodzakelijk zijn. Wanneer dit bedrijf de verzending uitbesteedt aan een derde partij, treedt die derde partij op als een verwerker, die taken uitvoert namens de verantwoordelijke zonder te beslissen over het doel of de middelen van de gegevensverwerking.

De GDPR schrijft voor dat verwerkingsverantwoordelijken een wettelijke grondslag moeten hebben voor het verwerken van persoonsgegevens, zoals:

• Toestemming van de betrokkene,
• Gerechtvaardigd belang nagestreefd door de verwerkingsverantwoordelijke,
• Naleving van een wettelijke verplichting,
• Uitvoering van een overeenkomst.

Verwerkingsverantwoordelijken zijn verplicht ervoor te zorgen dat de verwerking rechtmatig, eerlijk en transparant is. Bovendien moeten zij passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, misbruik of openbaarmaking. Deze verantwoordelijkheden benadrukken verantwoordingsplicht en gegevensbescherming door ontwerp en door standaardinstellingen (Voigt & von dem Bussche, 2017).

De belangrijkste verantwoordelijkheden van een verwerkingsverantwoordelijke omvatten:

• Het definiëren van doeleinden en middelen voor de verwerking,
• Het vaststellen van wettelijke grondslagen voor de verwerking,
• Het waarborgen van transparantie ten opzichte van betrokkenen,
• Het implementeren van beveiligingsmaatregelen,
• Het beheren van de rechten van betrokkenen zoals inzage, rectificatie en verwijdering.

Het niet correct nakomen van deze plichten kan leiden tot aanzienlijke boetes onder de GDPR-handhaving.

Dit raamwerk omschrijft duidelijk de rol van de verwerkingsverantwoordelijke als centraal voor GDPR-naleving, waarbij controle over de verwerking van persoonsgegevens wordt gewaarborgd en tegelijkertijd de privacyrechten van individuen worden beschermd.

Referenties:

• European Parliament and Council. (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

• Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7