Wat is een verwerker (processor) onder de AVG?

AVG Art. 4 lid 8 definieert verwerker als "een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt". Praktisch: partijen die data namens jou verwerken — niet voor eigen doelen. Voorbeelden: hostingprovider (TransIP, Hetzner) die jouw klantdata host, e-mailservice (Mailchimp, MailerLite), payroll-leverancier (Visma, Loket), SaaS-CRM (HubSpot, Salesforce), cloud-storage (Google Workspace, Microsoft 365), Stripe + Mollie voor betalingen. NIET een verwerker: partijen die voor eigen doelen data verwerken — bv. de Belastingdienst die jouw werknemersdata krijgt voor belastingoverheid (apart verwerkingsverantwoordelijke), Google Analytics als je standard-modus gebruikt (Google bepaalt eigen doelen ook). Sinds Schrems II + recente EDPB-richtlijnen is dat onderscheid scherp. Verwerkersovereenkomst (DPA) verplicht (Art. 28 lid 3) — schriftelijk contract dat instructies, beveiligingsmaatregelen, sub-verwerkers, hulpverlening bij AVG-rechten, datalek-procedure regelt. Werkzaam met verwerker zonder DPA = AVG-overtreding. Eigen verplichtingen verwerker: beveiligingsmaatregelen, alleen volgens instructie, melden datalekken aan controller, hulp bij DPIAs, terugkijken na contracteinde. Aansprakelijkheid: verwerker kan ook beboet worden (eigen rekening) — boetes 2023-2025 voor SaaS-partijen die DPAs missen of sub-verwerkers niet melden.