De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.2.2:6.2.2 Relatie tot en gevolgen voor beveiligingsverplichtingen
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.2.2
6.2.2 Relatie tot en gevolgen voor beveiligingsverplichtingen
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660928:1
- Vakgebied(en)
Privacy (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Europees Comité voor gegevensbescherming 2021, 07/2020, pt. 109.
Europees Comité voor gegevensbescherming 2021, 07/2020, pt. 125-127.
Europees Comité voor gegevensbescherming 2021, 07/2020, pt. 125-127.
Deze functie is alleen te gebruiken als je bent ingelogd.
Samenwerkende verwerkingsverantwoordelijken en verwerkers moeten afspraken maken over persoonsgegevensbeveiliging.1 Vanwege zijn verantwoordingsplicht is het voor de verwerkingsverantwoordelijke onvoldoende als hij de verwerker simpelweg verplicht passende maatregelen te treffen om het passende beveiligingsniveau te waarborgen.2
Verwerkingsverantwoordelijken zijn te allen tijde verantwoordelijk voor de vaststelling van het te waarborgen beveiligingsniveau. Dit brengt mee dat zij altijd moeten aangeven welke mate van beveiliging verwerkers moeten realiseren.3 In hoeverre zij ook de te treffen maatregelen moeten voorschrijven, hangt af van de omstandigheden van het geval. Het kan zijn dat zij moeten aangeven welke maatregelen de verwerker dient te treffen, maar het kan ook dat zij kunnen volstaan met minimumvoorschriften. Als een verwerkingsverantwoordelijke de keuze voor de specifieke maatregelen aan de verwerker laat, moet hij de verwerker zo informeren dat deze de passendheid van beveiligingsmaatregelen kan beoordelen. Ook dient hij af te spreken dat hij de maatregelen die de verwerker wil treffen, moet goedkeuren.4 Dergelijke goedkeuring is ook nodig als de verwerker andere maatregelen wil treffen dan afgesproken. De verwerkingsverantwoordelijke moet verder met de verwerker afspreken dat deze laatste de maatregelen regelmatig evalueert in het licht van de (eventuele geëvolueerde) risico’s.5
Voor verwerkers bestaan hun afspraken met de verwerkingsverantwoordelijke en art. 32 AVG naast elkaar. Zij kunnen de verplichtingen uit art. 32 AVG niet ontlopen met een beroep op de verwerkingsovereenkomst. Als een verwerker zijn verplichtingen uit de verwerkingsovereenkomst nakomt, kan hij alsnog aansprakelijk zijn jegens derden die schade leiden door de schending van art. 32 AVG.6 Ook kan hij dan een boete krijgen van de toezichthouder. Tegelijkertijd moet een verwerker voldoen aan de contractuele afspraken. Wanneer verwerkers niet aan de gemaakte afspraken voldoen, kunnen ze wegens schending daarvan aansprakelijk zijn (art. 6:74 e.v. BW).