Wanneer organisaties ten behoeve van een bedrijfsproces persoonsgegevens verwerken met andere partijen, worden deze partijen in veel gevallen als verwerker aangemerkt. In artikel 4 van de AVG is de definitie van een verwerker te vinden. Deze luidt: “Een verwerker is een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.”

Concrete voorbeelden zijn een boekhoudingskantoor dat de boekhouding van organisaties beheert, of een IT bedrijf dat de data van organisaties extern opslaat. Deze partijen verwerken gegevens namens de opdrachtgever. De opdrachtgever levert de data met persoonsgegevens aan. Deze opdrachtgever stelt het doel en de middelen van de verwerking vast. Dit is een belangrijk criterium om als verwerkingsverantwoordelijke aangemerkt te worden. Zonder doel is een verwerking immers niet gegrond.

Tussen de verantwoordelijke en de verwerker worden afspraken gemaakt over de verwerking van persoonsgegevens bij de uitvoering van een tussen partijen gesloten dienstverleningsovereenkomst. Deze afspraken worden opgenomen in een verwerkersovereenkomst. Tussen deze partijen wordt dus een dienstverleningsovereenkomst én een verwerkersovereenkomst gesloten.

De AVG een aantal eisen aan de verwerkersovereenkomst. De volgende elementen dienen in ieder geval opgenomen te worden in de verwerkersovereenkomst:

• Doeleinden van de verwerking;
• De verplichtingen van verwerker én verantwoordelijke;
• Afhandelen van datalekken en de meldplicht;
• Verzoeken van betrokkene;
• Doorgifte van persoonsgegevens aan derden;
• Beveiliging;
• Vrijwaring en aansprakelijkheid;
• Duur en beëindiging.

Ga binnen uw organisatie na of u persoonsgegevens laat verwerken door een andere partij. Indien dat het geval is, behoort u na te gaan of er tussen u en deze partijen een verwerkersovereenkomst (onder de vroegere Wbp: bewerkersovereenkomst) is gesloten. Toets in hoeverre deze verwerkersovereenkomst nog up-to-date is of stel een nieuwe overeenkomst op.

Weet u niet of u een verwerkersovereenkomst moet sluiten met een partij? Is uw bewerkersovereenkomst niet up-to-date meer? Of heeft u (nog) geen verwerkersovereenkomst? Neem contact op met AVG Juristen.

Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.