Verwerker

Een verwerker is een organisatie of persoon die persoonsgegevens verwerkt namens een verwerkingsverantwoordelijke, volgens de instructies van de verwerkingsverantwoordelijke in plaats van onafhankelijke beslissingen over de gegevens te nemen. Veelvoorkomende voorbeelden zijn cloudhostingproviders, e-mailmarketingplatforms, analysediensten en betalingsverwerkers. Onder de GDPR moet de relatie tussen verwerkingsverantwoordelijke en verwerker worden beheerst door een formele verwerkingsovereenkomst die de reikwijdte, aard en het doel van de verwerking specificeert.

Verwerkers hebben hun eigen complianceverplichtingen onder de GDPR, waaronder het implementeren van passende beveiligingsmaatregelen, het niet inschakelen van subverwerkers zonder toestemming van de verwerkingsverantwoordelijke, het assisteren van de verwerkingsverantwoordelijke bij verzoeken van betrokkenen en meldingen van datalekken, het bijhouden van registraties van verwerkingsactiviteiten, en het verwijderen of retourneren van gegevens aan het einde van de dienstrelatie. Een verwerker die buiten de instructies van de verwerkingsverantwoordelijke handelt — bijvoorbeeld door de gegevens voor eigen doeleinden te gebruiken — kan worden geherclassificeerd als verwerkingsverantwoordelijke en de volledige verplichtingen en aansprakelijkheid van een verwerkingsverantwoordelijke op zich nemen.