Wanneer moet je een verwerkersovereenkomst sluiten?

De Algemene Verordening Gegevensbescherming (AVG) is vanaf vandaag van toepassing. Als je persoonsgegevens doorgeeft aan andere partijen, verplicht deze wet je om in bepaalde gevallen een verwerkersovereenkomst te sluiten. Wanneer moet je zo’n overeenkomt sluiten?

1. Er moet sprake zijn van een verwerking van persoonsgegevens.

‘Verwerken’ is een ruime definitie. Het gaat daarbij om iedere bewerking van persoonsgegevens. Denk aan verzamelen, opvragen, gebruiken, opslaan, verstrekken, wijzigen en wissen.

Het makkelijkst is om eerst na te gaan of er sprake is van persoonsgegevens. Is het antwoord ‘nee’, dan is een verwerkersovereenkomst niet nodig. Onder persoonsgegevens verstaan we alle informatie over een persoon (klant, medewerker, etc.) zoals naam, adres, woonplaats, telefoonnummer en e-mailadres. Ook gegevens die niet direct betrekking lijken te hebben op een persoon, kunnen soms toch persoonsgegevens zijn. Dit is bijvoorbeeld het geval bij een zakelijk e-mailadres of telefoonnummer dat tot een specifieke medewerker herleidbaar is. Ook objectgegevens kunnen persoonsgegevens zijn. Bijvoorbeeld een kenteken in uw DMS- of CRM-systeem dat gekoppeld is aan een klant.

2. Je bent ‘verwerkingsverantwoordelijke’ en schakelt een andere partij in als ‘verwerker’ (of andersom).

Een verwerkersovereenkomst hoeft alleen gesloten te worden als een verwerker (bijvoorbeeld ICT-leverancier) persoonsgegevens verwerkt ‘in opdracht van’ een verwerkingsverantwoordelijke (dat kun jij zijn). Kijk vooraf daarom goed of je handelt als verwerkingsverantwoordelijke en de andere partij als verwerker, of andersom.

Het is in de praktijk niet altijd makkelijk om de exacte rolverdeling vast te stellen, maar de onderstaande uitleg kan enig houvast bieden:

De verwerkingsverantwoordelijke: is de partij die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit gebeurt.

De verwerker: is de partij die ‘in opdracht van’ de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De leverancier van uw garagesoftwarepakket kan bijvoorbeeld een verwerker zijn.

Twee aandachtspunten:

• De verwerking van persoonsgegevens moet de primaire opdracht van de verwerker zijn en niet voorvloeien uit andere dienstverlening. Anders is deze partij geen verwerker, maar waarschijnlijk verwerkingsverantwoordelijke.
• Als degene die de persoonsgegevens verwerkt onder het gezag van of in een hiërarchische verhouding staat tot de verwerkingsverantwoordelijke, dan is diegene geen verwerker. Een personeelslid dat in opdracht van u als werkgever persoonsgegevens verwerkt is bijvoorbeeld geen verwerker.

Als er sprake is van een verwerkingsverantwoordelijke en een verwerker, dan moeten afspraken in een verwerkersovereenkomst worden vastgelegd.

Let op: is er geen sprake van een verwerkingsverantwoordelijke en een verwerker, maar van gezamenlijke verwerkingsverantwoordelijken? Ook dan moeten bepaalde afspraken worden vastgelegd.

Veelvoorkomende verwerkersovereenkomsten

Met onder andere de volgende partijen kan een verwerkersovereenkomst nodig zijn:

• Salarisadministrateurs
• Leveranciers van cloudoplossingen (waaronder DMS- en CRM-systemen, als deze niet uitsluitend lokaal zijn opgeslagen)
• Klantencontactcenters
• Reclamebureaus
• Importeurs (een verwerkersovereenkomst is gelet op de dataconvenanten en de rolverdeling niet altijd nodig)
• Lease- en verhuurmaatschappijen
• Financierings- en verzekeringsmaatschappijen

Let op: er zijn nog veel meer partijen met wie het noodzakelijk kan zijn om een verwerkersovereenkomst te sluiten. Dit moet per geval beoordeeld worden. Bedenk dat je in bepaalde gevallen de verwerkingsverantwoordelijke kunt zijn en in andere gevallen de verwerker.

Uitzonderingen

Op dit moment geven de volgende partijen aan dat je geen verwerkersovereenkomst met hen hoeft te sluiten:

• UWV
• Pensioenfonds PMT
• CBR: zij geven aan dat de opleiders juridisch gezien de gemachtigden van de examen-kandidaten zijn en geen verwerker zijn van het CBR, waardoor een verwerkersovereenkomst niet nodig is.

Gebruik de voorbeeld-verwerkersovereenkomst

In de BOVAG Privacytool kun je een standaard verwerkersovereenkomst downloaden. Aan de hand van een extra checklist kun je controleren of jouw verwerkersovereenkomst met een derde partij voldoende is ‘dichtgetimmerd’. De BOVAG Privacytool leidt je in zestien stappen door de privacywetgeving. Ga voor meer informatie naar mijn.bovag.nl/privacy. Heb je vragen over verwerkersovereenkomsten? Neem dan contact op met BOVAG Ledenadvies via (030) 659 53 00.

Lees verder

• AVG: deze 11 dingen moet je vastleggen in een verwerkersovereenkomst
• Stroomschema ‘Bent u een verwerkersverantwoordelijke of verwerker’ (pagina 12)