Wie heeft welke verantwoordingsplicht in een verwerkersovereenkomst?

De AVG legt door een verantwoordingsplicht meer verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de regels voldoen. Een organisatie door of voor wie de gegevens verzameld wordt, wordt een verwerkingsverantwoordelijke genoemd. De verwerkingsverantwoordelijke - voor het gemak opdrachtgever - blijft verantwoordelijk voor alles wat er met de door of namens zijn organisatie verzamelde gegevens gebeurt. De opdrachtgever is en blijft verantwoordelijk voor alles wat er binnen zijn organisatie gebeurt, maar ook voor alles wat er door leveranciers (bijvoorbeeld een leverancier van toegangcontrole-systemen, camera's, beveiligingssystemen of andere verwerkers van gegevens) mee gedaan wordt. Zou de Autoriteit Persoonsgegevens een boete opleggen dan komt hij in eerste instantie bij de opdrachtgever uit, deze is aansprakelijk.
Een organisatie kan zijn verantwoordelijkheid hierbij niet delegeren aan een verwerker die in opdracht handelt. Deze verwerker dient zich bij de uitvoering namelijk te houden aan de kaders en de richtlijnen die de opdrachtgever hem, schriftelijk, verstrekt (instructies). Als de opdrachtgever instructies verstrekt die niet in lijn zijn met de AVG dan wordt in principe de opdrachtgever hiervoor aansprakelijk gesteld en niet de verwerker. In principe kan de verwerker alleen aansprakelijk worden gesteld in die gevallen waarbij de verwerker handelt in strijd met de instructies en afspraken zoals vastgelegd in de verwerkersovereenkomst.