Wat is een gegevensverwerker volgens Gdpr?

De General Data Protection Regulation (GDPR) definieert een gegevensverwerker expliciet als "een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt" (Verordening (EU) 2016/679, art. 4, lid 8). Deze definitie benadrukt de rol van de verwerker als een entiteit die de gegevens niet bezit of beheert, maar strikt handelt volgens de instructies van de verwerkingsverantwoordelijke.

Centraal in het GDPR-kader staat het onderscheid tussen verwerkingsverantwoordelijken en gegevensverwerkers. Terwijl verwerkingsverantwoordelijken de doeleinden en middelen voor de verwerking van persoonsgegevens bepalen, voeren verwerkers enkel verwerkingstaken uit. Dit onderscheid is cruciaal omdat het de reikwijdte van wettelijke verantwoordelijkheden en reglementaire verplichtingen bepaalt. Gegevensverwerkers, hoewel niet op dezelfde manier verantwoordelijk voor de algehele naleving als verwerkingsverantwoordelijken, zijn op grond van artikel 28 verplicht om:

• Passende organisatorische en technische maatregelen te implementeren om de gegevensbeveiliging te waarborgen.
• Gegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke.
• Een register van verwerkingsactiviteiten bij te houden.
• Indien nodig samen te werken met toezichthoudende autoriteiten.

Veelgenoemde voorbeelden van gegevensverwerkers zijn diensten van derden, zoals:

• Analysetools (bijv. Google Analytics)
• Aanbieders van boekhoudsoftware
• Software voor personeelsbeheer
• Tools voor marktonderzoek

Deze verwerkers behandelen persoonsgegevens volgens contractuele overeenkomsten, maar beslissen niet over het doel of de middelen van de verwerking, wat hen onderscheidt van verwerkingsverantwoordelijken (Voigt & Von dem Bussche, 2017).

Het wettelijk kader legt de verantwoordelijkheid bij verwerkers om hoge normen voor gegevensbescherming te handhaven, maar geeft hun niet de autonomie om beslissingen te nemen over het gebruik van gegevens. Dit beperkt de aansprakelijkheid van verwerkers voornamelijk tot het naleven van de instructies van de verwerkingsverantwoordelijke en de GDPR-naleving bij hun verwerkingsactiviteiten. Niet-naleving kan leiden tot boetes, wat hun cruciale rol in het ecosysteem van gegevensbescherming onderstreept (Kuner, 2018).

Samenvattend positioneert de GDPR gegevensverwerkers als entiteiten die verwerkingstaken uitvoeren onder leiding van verwerkingsverantwoordelijken, waarbij strikte naleving van beveiligingsmaatregelen en wettige instructies wordt geëist, zonder eigendom van of beslissingsbevoegdheid over de persoonsgegevens die zij behandelen.