1. Inleiding
De Algemene Verordening Gegevensbescherming ((EU) 2016/679; AVG)[2] onderscheidt de verwerker en de (gezamenlijke) verwerkingsverantwoordelijke als partijen die persoonsgegevens verwerken. Dit onderscheid in privacypositie is essentieel voor de toepasselijkheid van de AVG. Het is bepalend voor welke verplichtingen van de AVG een partij die persoonsgegevens verwerkt moet naleven en bij wie betrokkenen hun rechten kunnen uitoefenen. Ook is de privacypositie relevant voor het vaststellen van de omvang van aansprakelijkheid op grond van de AVG en de mogelijkheden voor handhaving door de bevoegde autoriteiten.[3] Maar hoe werkt dit in de praktijk, met name waar het gegevensuitwisseling via het internet betreft?