---

In de context van regelgeving op het gebied van gegevensbescherming en privacy, zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie of de California Consumer Privacy Act (CCPA), is een gegevensverwerker een entiteit die persoonlijke gegevens verwerkt namens een andere entiteit, ook wel bekend als de gegevensbeheerder.

Het belangrijkste onderscheid tussen een gegevensbeheerder en een gegevensverwerker ligt in de controle over de verwerking van persoonsgegevens. De verwerkingsverantwoordelijke bepaalt de doeleinden en middelen voor de verwerking van persoonsgegevens en is uiteindelijk verantwoordelijk voor het waarborgen van de naleving van de wetgeving inzake gegevensbescherming. De gegevensverwerker daarentegen handelt volgens de instructies van de gegevensbeheerder en verwerkt persoonsgegevens volgens die instructies.

Hier volgt een overzicht van de rollen en verantwoordelijkheden van gegevensverwerkers:

1. Verwerking volgens instructies:

- Gegevensverwerkers mogen persoonsgegevens alleen verwerken in overeenstemming met de specifieke instructies van de gegevensbeheerder.

- Zij mogen de gegevens niet voor eigen doeleinden gebruiken of met derden delen zonder toestemming van de verantwoordelijke.

2. Beveiligingsmaatregelen:

- Gegevensverwerkers zijn verplicht passende technische en organisatorische beveiligingsmaatregelen te implementeren om persoonsgegevens te beschermen tegen ongeoorloofde toegang, vernietiging of openbaarmaking.

3. Verzoeken van betrokkenen:

- Als een betrokkene (de persoon wiens persoonlijke gegevens worden verwerkt) een verzoek indient om toegang te krijgen tot zijn gegevens, deze te corrigeren, te verwijderen of de verwerking ervan te beperken, moet de gegevensverwerker dergelijke verzoeken doorsturen naar de gegevensbeheerder.

4. Bijhouden van gegevens:

- Gegevensverwerkers moeten een register bijhouden van hun verwerkingsactiviteiten, inclusief de categorieën van verwerkte persoonsgegevens, de doeleinden van de verwerking en de ontvangers van de gegevens.

5. Gegevensoverdracht:

- In geval van overdracht van persoonsgegevens naar een derde land moet de gegevensverwerker ervoor zorgen dat er voldoende waarborgen zijn om de gegevens te beschermen, zoals standaardcontractbepalingen die zijn goedgekeurd door een relevante gegevensbeschermingsautoriteit.

6. Samenwerking met toezichthoudende autoriteiten:

- Gegevensverwerkers moeten samenwerken met toezichthoudende autoriteiten die verantwoordelijk zijn voor de handhaving van de regelgeving inzake gegevensbescherming, het verstrekken van de nodige informatie en toegang tot de verwerkte persoonsgegevens.

7. Aansprakelijkheid:

- Hoewel de verwerkingsverantwoordelijke de primaire verantwoordelijkheid voor de naleving draagt, kunnen gegevensverwerkers nog steeds aansprakelijk worden gesteld voor eventuele inbreuken op de regelgeving inzake gegevensbescherming die plaatsvinden als gevolg van het niet naleven van de instructies van de verwerkingsverantwoordelijke of door ontoereikende beveiligingsmaatregelen.

Het is belangrijk dat organisaties hun gegevensverwerkers zorgvuldig selecteren en controleren om ervoor te zorgen dat persoonlijke gegevens op een wettige, eerlijke en veilige manier worden verwerkt, in overeenstemming met de toepasselijke regelgeving inzake gegevensbescherming.