Beveiliging speelt zich niet enkel af onder de paraplu van de controller

Een beslissing van de Zweedse toezichthouder IMY zet een basisregel van de GDPR opnieuw in de schijnwerpers. Artikel 32 legt de plicht op aan wie persoonsgegevens verwerkt om zorg te dragen voor de beveiliging van die gegevens, met passende technische en organisatorische maatregelen. Die verplichting geldt niet alleen voor de verwerkingsverantwoordelijke, maar evenzeer voor de verwerker. Toch leeft bij veel dienstverleners het idee dat beveiliging vooral een opdracht van de klant is.

Dat maakt de Zweedse boete bijzonder relevant. In België werd een verwerker voor een inbreuk op de beveiligingsplicht tot nu toe zelden rechtstreeks aangesproken. Daardoor ontstaat gemakkelijk de reflex dat een verwerker kan schuilen onder de paraplu van de verwerkingsverantwoordelijke. De casus toont dat dit een gevaarlijke veronderstelling is en dat artikel 32 ook voor verwerkers een eigen, directe verantwoordelijkheid inhoudt.