De verplichting tot het sluiten van een verwerkersovereenkomst

Voor veel bedrijven speelt de vraag hoe zij aan hun AVG verplichtingen moeten voldoen. Dat houdt vaak meer in dat enkel het opstellen van een privacyverklaring, die ook aan een aantal eisen moet voldoen.


Verplichting sluiten verwerkersovereenkomst


Een van de verplichtingen die voortvloeien uit de Algemene Wet Gegevensbescherming (AVG) is het sluiten van een verwerkersovereenkomst (ook wel bewerkersovereenkomst genoemd) wanneer voor de verwerking van persoonsgegevens een derde partij wordt ingeschakeld. Zoals ik in mijn blog over de privacyverklaring al uitlegde, worden vrijwel alle handelingen die met persoonsgegevens kunnen worden uitgevoerd als verwerking beschouwd.


Dus zodra er een derde partij wordt ingeschakeld die toegang heeft tot persoonsgegevens, moet er meestal een verwerkersovereenkomst worden gesloten tussen de zogenoemde verwerkingsverantwoordelijke en de zogenoemde verwerker.


Verwerkingsverantwoordelijke of verwerker?


De verwerkingsverantwoordelijke is de partij die de persoonsgegevens voor zichzelf verwerkt, die bepaalt welke persoonsgegevens worden verwerkt, waarom dat gebeurt en hoe dat gedaan wordt. Het is de partij die de persoonsgegevens wil hebben voor diens eigen belang. De verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de persoonsgegevens.


De verwerker verwerkt persoonsgegevens niet voor zichzelf maar in opdracht van of ten behoeve van de verwerkingsverantwoordelijke. Denk bijvoorbeeld aan een salarisadministratiekantoor dat de salarisadministratie verzorgt voor een bedrijf. Ook een hostingbedrijf dat voor de cloudopslag van persoonsgegevens zorgdraagt is een verwerker.


Wat staat er in een verwerkersovereenkomst


Tussen de verwerkingsverantwoordelijke en de verwerker moet dus een verwerkersovereenkomst worden gesloten, tenzij de verwerking van persoonsgegevens niet de primaire opdracht is van de verwerkingsverantwoordelijke, maar een uitvloeisel van een andere vorm van dienstverlening. In de verwerkersovereenkomst moeten afspraken worden gemaakt over hoe er met de persoonsgegevens wordt omgegaan.


Dit hoeft geen aparte overeenkomst te zijn. Het kan ook in de algemene voorwaarden of andere bestaande overeenkomst tussen partijen zijn opgenomen.

ICT verwerkersovereenkomst


ICT bedrijven bieden vaak een softwarepakket of Saas dienst aan waarbinnen persoonsgegevens ten behoeve van de klant worden verwerkt. Zij fungeren daarom meestal als verwerker in de zin van de AVG.

Zowel de verwerkingsverantwoordelijke als de verwerker zijn verplicht tot het sluiten van een verwerkersovereenkomst. Het ligt wel meer op de weg van de verwerkingsverantwoordelijke om een verwerkersovereenkomst te sluiten met de verwerker.


Desondanks is het voor ICT bedrijven vaak aan te raden hier zelf voor een ICT verwerkersovereenkomst zorg te dragen, zodat zij eenduidige voorwaarden met hun klanten af kunnen spreken en tevens zo gunstig mogelijke voorwaarden kunnen afdingen.


Opstellen verwerkersovereenkomst


Wil je ook (advies over) een verwerkersovereenkomst voor jouw bedrijf? Neem dan snel contact op!



Zie ook: Geen recht op transitievergoeding bij herplaatsing in een functie met een lager salaris