In deze bijdrage behandelt de auteur de vraag of bestuurders moeten vrezen voor externe aansprakelijkheid voor AVG-schendingen. Hij beantwoordt de vraag ontkennend. Indien een bestuurder in de vervulling van zijn bestuurstaak het doel van en de middelen voor een verwerking van persoonsgegevens vaststelt, geldt de rechtspersoon als verwerkingsverantwoordelijke. Een bestuurder die in hoedanigheid van bestuurder het doel van en de middelen voor een verwerking heeft vastgesteld, is in dat geval niet op grond van de AVG extern aansprakelijk voor inbreuken.