CHECKLIST: Wat moet ik doen als verwerker?

De belangrijkste plichten op grond van de Verordening voor de verwerker zijn:

  • Een verwerker mag alleen persoonsgegevens van de verwerkingsverantwoordelijke verwerken in opdracht van de verwerkingsverantwoordelijke. De verwerker mag dus geen eigen doelen nastreven met de ontvangen persoonsgegevens.
  • De verwerker dient in bepaalde gevallen een functionaris voor gegevensbescherming aan te stellen.
  • De verwerker is verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die hij verwerkt in opdracht van de verwerkingsverantwoordelijke (registerplicht);
  • De verwerker dient net als de verwerkingsverantwoordelijke passende technische en organisatorische beveiligingsmaatregelen nemen, die passend zijn voor de gegevensverwerking.
  • De verwerker mag op zijn beurt geen sub-verwerkers inschakelen zonder toestemming van de  verwerkingsverantwoordelijke;
  • De verwerker moet de verwerkingsverantwoordelijke zonder vertraging op de hoogte stellen van een datalek.
  • De verwerker is verplicht medewerking te verlenen bij een verzoek van de toezichthouder (Autoriteit Persoonsgegevens), bijvoorbeeld in het kader van een handhavingsonderzoek.