Logo
  • Opinie
  • 23 april 2018

AVG: wie is verantwoordelijk, u of uw leveranciers?

Voor veel facilitaire systemen waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is - zoals camerasystemen en toegangscontrolesystemen - geldt dat de facilitaire organisatie deze aan leveranciers heeft uitbesteed. Maar wie hoort nu precies wat te doen en wie is nu precies waarvoor verantwoordelijk? Om te voorkomen dat de opdrachtgever, ten onrechte, verwacht dat de leverancier het wel zal regelen leg ik in dit artikel kort uit hoe het zit met de verantwoordelijkheden.

De AVG legt door een verantwoordingsplicht meer verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de regels voldoen. Een organisatie door of voor wie de gegevens verzameld wordt, wordt een verwerkingsverantwoordelijke genoemd. De verwerkingsverantwoordelijke - voor het gemak opdrachtgever - blijft verantwoordelijk voor alles wat er met de door of namens zijn organisatie verzamelde gegevens gebeurt. De opdrachtgever is en blijft verantwoordelijk voor alles wat er binnen zijn organisatie gebeurt maar ook voor alles wat er door leveranciers mee gedaan wordt. Zou de Autoriteit Persoonsgegevens een boete opleggen dan komt hij in eerste instantie bij de opdrachtgever uit, deze is immers aansprakelijk.

Instructies

Een organisatie kan zijn verantwoordelijkheid hierbij niet delegeren aan een verwerker die in opdracht handelt. Deze verwerker dient zich bij de uitvoering namelijk te houden aan de kaders en de richtlijnen die de opdrachtgever hem, schriftelijk, verstrekt (instructies). Als de opdrachtgever instructies verstrekt die niet in lijn zijn met de AVG dan wordt in principe de opdrachtgever hiervoor aansprakelijk gesteld en niet de verwerker.

Verwerkersovereenkomsten

De AVG maakt dus onderscheid tussen een verantwoordelijke (opdrachtgever die accountable is) en een verwerker (leverancier die hooguit responsible is) waarbij de rechten en plichten van beide partijen in zogenaamde verwerkersovereenkomsten moeten worden vastgelegd. In principe kan de verwerker alleen aansprakelijk worden gesteld in die gevallen waarbij de verwerker handelt in strijd met de instructies en afspraken zoals vastgelegd in de verwerkersovereenkomst.

Kortom: de toegangscontroleleverancier, de cameraleverancier, de particuliere alarm centrale en alle andere verwerkers van de gegevens moeten door de opdrachtgever geïnstrueerd worden en alle afspraken die met hen gemaakt worden, moeten worden vastgelegd in de verwerkersovereenkomsten.
In de hoedanigheid van opdrachtgever ben en blijf je verantwoordelijk (en aansprakelijk) voor het voldoen aan de AVG, ook voor taken die uitgevoerd worden door verwerkers.

Producttips