De rollen in de AVG: de controller en de processor

Iedere organisatie werkt met persoonsgegevens. Vanaf 25 mei 2018 bent u verplicht te voldoen aan de strengere regelgeving die de Algemene Verordening Gegevensbescherming (AVG) voorschrijft. Wie welke verantwoordelijkheid heeft bij het verzamelen, opslaan, verwerken en toepassen van persoonsgegevens is opgenomen in de AVG.

18 januari 2018 | Door redactie

In de regels van de AVG (tool) zijn in artikel 4 twee (informatie)rollen benoemd: de controller en de processor (verwerker) van persoonsgegevens. Wanneer uw organisatie persoonsgegevens opvraagt of verwerkt, wordt u gezien als de controller, ongeacht of u zelf direct data verzamelt. Een bank bijvoorbeeld verzamelt data van klanten als ze een rekening openen en is daarmee verantwoordelijk voor de persoonlijke data van deze klanten. Als u een leverancier data voor u laat beheren, opslaan, transporteren of verwerken, is die partij de processor. De datacentra die de leverancier vervolgens inzet om de gegevens daadwerkelijk op de servers op te slaan, zijn vaak de sub-processor.

Verantwoordelijkheden van de controller

In de rol van controller bent u verantwoordelijk voor het verzamelen van de gegevens en voor het krijgen van toestemming van de persoon van wie de gegevens zijn. Ook moet u ervoor zorgen dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen en dat ze adequaat worden beveiligd. Als de persoon over wie de data gaan een verzoek doet om zijn data te verwijderen, moet u daaraan kunnen voldoen. Verder moet u aangeven bij de verwerker van de gegevens welk niveau van beveiliging (tool) vereist is.

Verantwoordelijkheden van de processor

De processor (verwerker) is verantwoordelijk voor het fysiek opslaan van de gegevens en de bewaking ervan, zodat derden geen onrechtmatige toegang tot de gegevens kunnen krijgen. Hij zal er ook voor moeten zorgen dat een sub-processor (bijvoorbeeld een datacentrum of softwareleverancier) hieraan voldoet. Ook bij afwijkingen of privacy-incidenten zal hij u (de controller) moeten informeren. Verder handelt hij vorderingen en taps door bevoegde overheidsinstanties (bijvoorbeeld politie, justitie, AIVD, MIVD) af.

Verwerkersovereenkomst en proces bij calamiteiten

Als u diensten uitbesteedt (tool), moet u de afspraken met al uw leveranciers over de omgang met persoonlijke gegevens vastleggen in een verwerkersovereenkomst (tool). Belangrijk om te weten is dat u ook toestemming nodig heeft van de klant, indien u zijn persoonsgegevens door een andere partij laat verwerken. Het kan voorkomen dat ondanks alle beveiligingsmaatregelen er iets niet in de haak is. In dat geval zal de verwerker (uw leverancier) dit merken en zal hij contact opnemen met zijn sub-processors (zijn leveranciers) en met u om de afwijking te melden. Vervolgens bent u als controller aan de beurt om eventueel een datalek te melden.