Verscherpte aansprakelijkheidsregeling in de GDPR voor zowel de verwerkingsverantwoordelijke als de verwerker

De verwerkingsverantwoordelijke is verantwoordelijk voor de gehele verwerking van de persoonsgegevens, dit zowel voor de interne verwerking, als voor de verwerkingen die gebeuren door haar verwerkers. Hij is hierbij aansprakelijk voor de schade die veroorzaakt wordt door elke verwerking die een inbreuk maakt op de GDPR. Er rust aldus een zware bewijslast op de verwerkingsverantwoordelijke. Enerzijds bestaat er een vermoeden van causaal verband. Anderzijds dient de verwerkingsverantwoordelijke, om vrijgesteld te zijn van aansprakelijkheid, te bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakend feit (art 82, 3 GDPR).

De verwerkingsverantwoordelijke kan zich niet zomaar (contractueel) bevrijden van zijn aansprakelijkheid, zelfs niet voor de verwerkingen die de verwerker voor hem uitvoert.

Ook voor de verwerker geldt eveneens een zwaardere aansprakelijkheid onder de GDPR. Een verwerker is aansprakelijk voor de schade die door zijn verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifieke tot de verwerkers gerichte verlichtingen in de GDPR of indien de verwerker in strijd of buiten de instructies van de verwerkingsverantwoordelijke heeft gehandeld (vastgelegd in de verwerkingsovereenkomst).

Indien meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, kan de betrokkene iedere verwerkingsverantwoordelijke of verwerker voor de volledige schade aanspreken. De verwerkingsverantwoordelijke en de verwerker zijn onder de GDPR aldus hoofdelijk aansprakelijk. Hierbij is wel de mogelijkheid voorzien voor de partij die de schade geheel vergoed heeft aan de betrokkene, om regres uit te oefenen op de andere aansprakelijke partij voor zijn deel van de aansprakelijkheid in de schade.

Hiermee wordt het belang van het opstellen van een goede verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker extra in het licht gezet. De verwerkersovereenkomst regelt op welke wijze een verwerker persoonsgegevens mag verwerken. Een goede omlijning enerzijds van de verwerkingsactiviteiten die de verwerker mag uitvoeren en anderzijds van de technische en organisatorische maatregelen die een verwerker moet nemen kan duidelijkheid scheppen om te bepalen welke van beide partij bij schade de grootste aansprakelijkheid moet dragen.