Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.2.1
6.2.1 Algemeen: art. 5 lid 2, 24 en 28 AVG
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660975:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie de titel van Hoofdstuk IV, afdeling 1, waarin art. 24 en 28 staan: ‘algemene verplichtingen’.
Art. 5 lid 2 en 24 AVG. Vgl. HvJ EU 22 november 2012, ECLI:EU:C:2012:748, pt. 25 (Probst). Het accountabilitybeginsel garandeert dat verwerkingsverantwoordelijken en verwerkers de eisen van de AVG ook daadwerkelijk vertalen naar maatregelen (art. 29-werkgroep 2010, WP 173, p. 3). Ook leidt het ertoe dat verwerkingsverantwoordelijken zelf de naleving van de AVG moeten aantonen en toezichthouders hier dus geen onderzoek hoeven te verrichten (bijv. Voigt & Von dem Bussche 2017, §3.1 en 3.10). Art. 24 AVG werkt dit verder uit, zie in gelijke zin Demetzou 2020-II, p. 13; Gellert 2020, §5.2.3.1.
Voigt & Von dem Bussche 2017, §3.1 en §3.10; Europese Toezichthouder voor gegevensbescherming 2019-I, §2 (waarin accountability alleen met de verwerkingsverantwoordelijke in verband wordt gebracht); Van Alsenoy 2019, pt. 192-194 (impliciet).
Wel kan hij dan door de betrokkene aansprakelijk worden gehouden, zie §6.6.2.
Vele materieelrechtelijke AVG-bepalingen stellen eisen aan persoonsgegevens en persoonsgegevensverwerkingen zonder een specifieke partij met de naleving daarvan te belasten.1 De beginselen inzake verwerking van persoonsgegevens, waaronder art. 5 lid 1 onder f AVG, doen dit ook. Art. 5 lid 2, 24 en 28 AVG verduidelijken hoe verwerkingsverantwoordelijken en verwerkers zich ten aanzien van deze verplichtingen tot elkaar verhouden. Zij gaan respectievelijk over de verantwoordingsplicht (principle of accountability), de positie en verplichtingen van de verwerkingsverantwoordelijke en de positie en verplichtingen van de verwerker.2
De verwerkingsverantwoordelijke – de partij die kort gezegd het doel en de middelen van een verwerking vaststelt, zie §2.2.3.2 – is verantwoordelijk (accountable) voor de naleving van de AVG.3 Hij moet waarborgen en aantonen dat ‘zijn’ persoonsgegevensverwerking in overeenstemming is met de AVG.4 In dit kader moet hij verzekeren en aan kunnen tonen dat hij de AVG naleeft en de rechten van betrokkenen beschermt,5 en dat de eventuele door hem ingeschakelde verwerkers dit doen.6 Daarbij gaat het onder andere om “het normatieve hart van de AVG”: de beginselen inzake verwerking van persoonsgegevens (zoals het beginsel van integriteit en vertrouwelijkheid).7
Om het bovenstaande te garanderen, moeten verwerkingsverantwoordelijken volgens art. 24 AVG passende technische en organisatorische maatregelen treffen (zie §6.2.3).8 Hiertoe dienen zij afspraken te maken met hun verwerkers in een zogenoemde verwerkingsovereenkomst.9 Wanneer deze afspraken niet voldoen aan de eisen van de AVG, kan de toezichthouder een sanctie opleggen aan de verwerkingsverantwoordelijke.10
De verplichtingen van verwerkers zijn beperkt tot de verantwoordelijkheden die de AVG hen nadrukkelijk oplegt.11 Zij zijn niet in het algemeen verantwoordelijk voor de naleving van de AVG, en dus ook niet voor de handelingen van de verwerkingsverantwoordelijke.12
Beginselen inzake verwerking van persoonsgegevens zijn niet nadrukkelijk op verwerkers gericht.13 Dit betekent dat de bepalingen waarvan schendingen het zwaarst kunnen worden beboet alleen verplichtingen meebrengen voor de verwerkingsverantwoordelijke (zie ook §6.6). De verwerkingsverantwoordelijke heeft zo bezien zwaardere wettelijke verplichtingen dan de verwerker. Wel zullen voor de verwerker nog verplichtingen voortvloeien uit de verwerkingsovereenkomst die hij met de verwerkingsverantwoordelijke sluit.