De Autoriteit Persoonsgegevens (AP) houdt ook toezicht op verwerkers. Ook ú heeft onder de Algemene verordening gegevensbescherming (AVG) een aantal specifieke verplichtingen, waaronder:
- U moet zich volledig houden aan de instructies die u krijgt van de verwerkingsverantwoordelijke voor het verwerken van de persoonsgegevens. Tenzij deze instructies in strijd zijn met de wet. Volgt u de instructies van de andere organisatie niet? Dan beschouwt de AVG u als verwerkingsverantwoordelijke met bijbehorende verplichtingen.
- Als verwerker moet u een verwerkersovereenkomst hebben. Met een verwerkersovereenkomst kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke.
- U moet de persoonsgegevens passend beveiligen.
- Als verwerker mag u alleen persoonsgegevens uitbesteden aan subverwerkers als u daarvoor schriftelijke toestemming van de verwerkingsverantwoordelijke heeft. De subverwerker moet minimaal hetzelfde niveau van gegevensbescherming bieden.
- Heeft u een datalek met de persoonsgegevens die u in opdracht van een andere organisatie verwerkt? Dan is het uw plicht om de verwerkingsverantwoordelijke zo snel mogelijk te informeren. Deze heeft namelijk op zijn beurt weer de plicht om bepaalde datalekken binnen 72 uur te melden aan de AP. En soms is een verwerkersverantwoordelijke ook verplicht om de betrokken personen te informeren.
- Als verwerker heeft u onder de AVG ook een verantwoordingsplicht. Afhankelijk van de grootte van uw organisatie moet u bijvoorbeeld een functionaris gegevensbescherming (FG) aanstellen. Of een verwerkingsregister bijhouden.