Beveiliging speelt zich niet enkel af onder de paraplu van de controller
Een beslissing van de Zweedse toezichthouder IMY zet een basisregel van de GDPR opnieuw in de schijnwerpers. Artikel 32 legt de plicht op aan wie persoonsgegevens verwerkt om zorg te dragen voor de beveiliging van die gegevens, met passende technische en organisatorische maatregelen. Die verplichting geldt niet alleen voor de verwerkingsverantwoordelijke, maar evenzeer voor de verwerker. Toch leeft bij veel dienstverleners het idee dat beveiliging vooral een opdracht van de klant is.
Dat maakt de Zweedse boete bijzonder relevant. In België werd een verwerker voor een inbreuk op de beveiligingsplicht tot nu toe zelden rechtstreeks aangesproken. Daardoor ontstaat gemakkelijk de reflex dat een verwerker kan schuilen onder de paraplu van de verwerkingsverantwoordelijke. De casus toont dat dit een gevaarlijke veronderstelling is en dat artikel 32 ook voor verwerkers een eigen, directe verantwoordelijkheid inhoudt.
Artikel 32 als gedeelde plicht
De structuur van de GDPR is duidelijk. De verordening legt verplichtingen op aan verwerkingsverantwoordelijken en verwerkers naast elkaar. Artikel 32 vormt daarvan een schoolvoorbeeld. Het verplicht beide partijen om passende technische en organisatorische maatregelen te nemen, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard van de verwerking en de risico’s voor de rechten en vrijheden van personen.
De klassieke maar onvolledige lezing
Toch wordt in veel organisaties artikel 32 gelezen door de bril van artikel 24 en artikel 28: de verwerkingsverantwoordelijke bepaalt de doeleinden en middelen, kiest zijn verwerker en moet toezicht houden op de naleving. Vanuit dat perspectief lijkt veiligheid een verlengstuk van de controllerverantwoordelijkheid. De verwerker voert uit wat contractueel is afgesproken en zou vooral moeten aantonen dat hij de instructies volgt.
De zelfstandige norm voor wie verwerkt
Die lezing is begrijpelijk maar onvolledig. Artikel 32 creëert een zelfstandige norm voor wie feitelijk persoonsgegevens verwerkt. Een hostingprovider, een SaaS-leverancier of een IT-dienstverlener kan zich niet verschuilen achter het argument dat de klant het kader bepaalt. Wie systemen ontwerpt, beheert en beveiligt, draagt zelf de plicht om te zorgen voor effectieve bescherming.
De Zweedse keuze voor een processorgerichte handhaving
In de zaak rond SportAdmin koos IMY expliciet voor een processorgerichte benadering. De toezichthouder stelde vast dat het bedrijf hoofdzakelijk optrad als verwerker voor sportverenigingen, maar vond het niet nodig om per verwerking te bepalen of SportAdmin soms ook verwerkingsverantwoordelijke was. Voor artikel 32 was die kwalificatie volgens IMY niet doorslaggevend. De verplichting gold hoe dan ook, ongeacht de rol.
Feitelijke controle als beslissend criterium
De kern van de motivering lag in de feitelijke controle over het platform. SportAdmin ontwierp en exploiteerde de diensten en beschikte over de reële mogelijkheid om beveiligingsmaatregelen te implementeren.
“Uit het onderzoek blijkt dat het de onderneming is die de betrokken diensten heeft ontworpen en ter beschikking gesteld en die daardoor de feitelijke mogelijkheid heeft gehad om dergelijke maatregelen te implementeren.” (IMY, Besluit na toezicht GDPR – SportAdmin i Skandinavien AB)
De vastgestelde kwetsbaarheden konden dus rechtstreeks aan het bedrijf worden toegerekend. De redenering is pragmatisch: wie de sleutels van het systeem in handen heeft, draagt ook de verantwoordelijkheid voor de kwaliteit van het slot.
Een bewuste beleidskeuze
Opvallend is dat IMY geen uitgebreid debat voerde over de rol van de betrokken verwerkingsverantwoordelijken. Deze sportverenigingen bleven buiten beeld, ook al rust op hen de plicht om een geschikte verwerker te kiezen en toezicht te houden op de maatregelen. De toezichthouder had perfect kunnen kiezen voor een dubbele procedure, voor een primaire aansprakelijkheid van de verwerkingsverantwoordelijken of voor een gecombineerde aanpak. De keuze voor een exclusieve focus op de verwerker is daarom niet de enige denkbare weg, maar wel een krachtige beleidskeuze.
De Belgische praktijk als contrast
In België zien we tot vandaag vooral beslissingen waarin artikel 32 wordt toegepast ten aanzien van verwerkingsverantwoordelijken. De toezichthouder treedt geregeld op bij beveiligingsincidenten, maar de sanctie is doorgaans gericht op de partij die de doeleinden en middelen bepaalt. Dat creëert onvermijdelijk een perceptie dat veiligheid in de eerste plaats een controllerdossier is.
Het risico van valse geruststelling
Die perceptie kan verwerkers onterecht geruststellen. Veel leveranciers beperken hun rol tot het uitvoeren van contractuele clausules en verwijzen bij incidenten naar de keuzes van de klant. De Zweedse beslissing toont dat dit verdedigingsmechanisme snel kan breken. Toezichthouders beschikken over de vrijheid om zich rechtstreeks tot de verwerker te richten wanneer daar de operationele oorzaak van het probleem ligt.
Artikel 32 lezen zonder controllerbril
Het is daarom nuttig om artikel 32 opnieuw te lezen los van de klassieke controllerbril. De bepaling spreekt over passende maatregelen in verhouding tot de risico’s van de verwerking. Dat is een inhoudelijke norm die geldt voor iedereen die feitelijk systemen bouwt, beheert of beveiligt. De contractuele relatie met de controller kan de invulling beïnvloeden, maar ze vervangt de wettelijke plicht niet.
Wat betekent dit voor de praktijk
Verantwoordelijkheid van verwerkers
Voor verwerkers is de les helder. Het volstaat niet om te wachten op instructies van de klant of om zich te beperken tot minimale contractuele afspraken. Wie diensten aanbiedt waarbij persoonsgegevens worden verwerkt, moet zelf een volwassen veiligheidsbeleid ontwikkelen. Dat beleid moet rekening houden met reële dreigingen, met kwetsbaarheden in de eigen architectuur en met de impact op betrokkenen.
Dat vraagt meer dan technische maatregelen alleen. Organisatorische processen, incidentbeheer, logging, toegangscontrole en periodieke evaluaties vormen evenzeer deel van de verplichting. Een verwerker moet kunnen aantonen dat de gekozen maatregelen effectief zijn en dat ze worden aangepast wanneer de risico’s evolueren. De verantwoordelijkheid is dynamisch en kan niet worden afgekocht met een standaardclausule.
Rol van controllers in hetzelfde ecosysteem
Ook verwerkingsverantwoordelijken doen er goed aan deze realiteit te erkennen. De keuze van een verwerker en het toezicht op diens maatregelen blijven essentieel, maar ze bieden geen volledige bescherming tegen aansprakelijkheid. In veel situaties zal een toezichthouder beide partijen aanspreken, hetzij samen, hetzij afzonderlijk. De relatie tussen controller en verwerker is geen waterdichte scheiding van verantwoordelijkheden maar een gedeeld ecosysteem.
De meerwaarde van de Zweedse casus
De beslissing van IMY verdient aandacht omdat ze dit evenwicht opnieuw zichtbaar maakt. Ze herinnert eraan dat artikel 32 geen loutere bijlage is bij artikel 28, maar een zelfstandige pijler van de GDPR. Door de verwerker rechtstreeks te sanctioneren, benadrukt de toezichthouder dat veiligheid begint bij wie de technische macht bezit.
Flexibiliteit en veeleisendheid van het systeem
Tegelijk blijft de beslissing genuanceerd. Ze ontkent niet dat controllers een belangrijke rol spelen in de keuze en opvolging van hun verwerkers. Ze toont enkel dat die verantwoordelijkheid niet exclusief is. De GDPR laat ruimte voor verschillende handhavingsroutes, afhankelijk van waar de oorzaak van het probleem ligt. Dat maakt het systeem flexibel, maar ook veeleisend.
Waarschuwing voor Belgische organisaties
Voor Belgische organisaties is dit een waardevolle waarschuwing. Het feit dat onze toezichthouder tot vandaag vooral verwerkingsverantwoordelijken viseert, betekent niet dat dit zo zal blijven. Europese samenwerking en convergentie in handhaving kunnen snel tot andere accenten leiden. Wie vandaag als verwerker actief is, doet er goed aan zich voor te bereiden op een strengere blik.
Conclusie
Artikel 32 legt een dubbele lat. Verwerkingsverantwoordelijken moeten passende maatregelen eisen en controleren. Verwerkers moeten ze zelf ontwerpen en uitvoeren. De Zweedse beslissing rond SportAdmin onderstreept dat een verwerker zich niet kan verstoppen achter de verwerkingsverantwoordelijke wanneer de veiligheid van een platform tekortschiet. De wettelijke plicht is eigen en rechtstreeks.
Voor dienstverleners is dat geen reden tot paniek, wel tot maturiteit. Een volwassen securitybeleid, transparante processen en een kritische dialoog met klanten zijn de beste bescherming. Wie enkel wijst naar instructies van de verwerkingsverantwoordelijke, mist de kern van de GDPR. De verordening verwacht dat elke actor in de keten zijn deel van de verantwoordelijkheid opneemt.
Bij consey(.legal) begeleiden we zowel controllers als processors bij de praktische invulling van artikel 32. We helpen organisaties om hun rollen helder te definiëren, risico’s correct in te schatten en maatregelen te verankeren in werkbare processen. Wil je nagaan waar jouw organisatie staat in dit verhaal, dan gaan we graag met je in gesprek via hallo@consey.legal.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
