1. Home
  2. Nieuws
  3. Verscherpte aansprakelijkheidsregeling in de GDPR voor zowel de verwerkingsverantwoordelijke als de verwerker

Verscherpte aansprakelijkheidsregeling in de GDPR voor zowel de verwerkingsverantwoordelijke als de verwerker

Een van de belangrijkste verstrengingen van de GDPR ten opzichte van de Privacywet, is de regeling met betrekking tot de aansprakelijkheid van de verwerkingsverantwoordelijke en de verwerker. Daar waar onder de Privacywet een partij haar aansprakelijkheid contractueel kon afschuiven onder bepaalde voorwaarden, is dit niet meer mogelijk onder de GDPR. De GDPR is van dwingend recht dus de partijen die persoonsgegevens verwerken kunnen onderling slechts aanvullende afspraken maken die niet in strijd zijn met de GDPR.

Artikel 82, 1 GDPR bepaalt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

gdpr-verscherpte-aansprakelijkheidsregeling-artikel

Aansprakelijkheid van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is verantwoordelijk voor de gehele verwerking van de persoonsgegevens, dit zowel voor de interne verwerking, als voor de verwerkingen die gebeuren door haar verwerkers. Hij is hierbij aansprakelijk voor de schade die veroorzaakt wordt door elke verwerking die een inbreuk maakt op de GDPR. Er rust aldus een zware bewijslast op de verwerkingsverantwoordelijke. Enerzijds bestaat er een vermoeden van causaal verband. Anderzijds dient de verwerkingsverantwoordelijke, om vrijgesteld te zijn van aansprakelijkheid, te bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakend feit (art 82, 3 GDPR).

De verwerkingsverantwoordelijke kan zich niet zomaar (contractueel) bevrijden van zijn aansprakelijkheid, zelfs niet voor de verwerkingen die de verwerker voor hem uitvoert.

Aansprakelijkheid van de verwerker

Ook voor de verwerker geldt eveneens een zwaardere aansprakelijkheid onder de GDPR. Een verwerker is aansprakelijk voor de schade die door zijn verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifieke tot de verwerkers gerichte verlichtingen in de GDPR of indien de verwerker in strijd of buiten de instructies van de verwerkingsverantwoordelijke heeft gehandeld (vastgelegd in de verwerkingsovereenkomst).

Hoofdelijke aansprakelijkheid

Indien meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, kan de betrokkene iedere verwerkingsverantwoordelijke of verwerker voor de volledige schade aanspreken. De verwerkingsverantwoordelijke en de verwerker zijn onder de GDPR aldus hoofdelijk aansprakelijk. Hierbij is wel de mogelijkheid voorzien voor de partij die de schade geheel vergoed heeft aan de betrokkene, om regres uit te oefenen op de andere aansprakelijke partij voor zijn deel van de aansprakelijkheid in de schade.

Belang verwerkersovereenkomst

Hiermee wordt het belang van het opstellen van een goede verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker extra in het licht gezet. De verwerkersovereenkomst regelt op welke wijze een verwerker persoonsgegevens mag verwerken. Een goede omlijning enerzijds van de verwerkingsactiviteiten die de verwerker mag uitvoeren en anderzijds van de technische en organisatorische maatregelen die een verwerker moet nemen kan duidelijkheid scheppen om te bepalen welke van beide partij bij schade de grootste aansprakelijkheid moet dragen.

 

 

Auteur: Olivier Sustronck

 

 

  99