Wanneer moet u een verwerkersovereenkomst sluiten?

Laatste update 28 mei 2018 Leestijd: 4 min

De Algemene Verordening Gegevensbescherming (AVG) is vanaf vandaag van toepassing. Als u persoonsgegevens doorgeeft aan andere partijen, verplicht deze wet u om in bepaalde gevallen een verwerkersovereenkomst te sluiten. Wanneer moet u zo’n overeenkomt sluiten?

1. Er moet sprake zijn van een verwerking van persoonsgegevens.

‘Verwerken’ is een ruime definitie. Het gaat daarbij om iedere bewerking van persoonsgegevens. Denk aan verzamelen, opvragen, gebruiken, opslaan, verstrekken, wijzigen en wissen.

Het makkelijkst is om eerst na te gaan of er sprake is van persoonsgegevens. Is het antwoord ‘nee’, dan is een verwerkersovereenkomst niet nodig. Onder persoonsgegevens verstaan we alle informatie over een persoon (klant, medewerker, etc.) zoals naam, adres, woonplaats, telefoonnummer en e-mailadres. Ook gegevens die niet direct betrekking lijken te hebben op een persoon, kunnen soms toch persoonsgegevens zijn. Dit is bijvoorbeeld het geval bij een zakelijk e-mailadres of telefoonnummer dat tot een specifieke medewerker herleidbaar is. Ook objectgegevens kunnen persoonsgegevens zijn. Bijvoorbeeld een kenteken in uw DMS- of CRM-systeem dat gekoppeld is aan een klant. 

2. U bent ‘verwerkingsverantwoordelijke’ en schakelt een andere partij in als ‘verwerker’ (of andersom).

Een verwerkersovereenkomst hoeft alleen gesloten te worden als een verwerker (bijvoorbeeld ICT-leverancier) persoonsgegevens verwerkt ‘in opdracht van’ een verwerkingsverantwoordelijke (dat kunt u zijn). Kijk vooraf daarom goed of u handelt als verwerkingsverantwoordelijke en de andere partij als verwerker, of andersom.

Het is in de praktijk niet altijd makkelijk om de exacte rolverdeling vast te stellen, maar de onderstaande uitleg kan enig houvast bieden:

De verwerkingsverantwoordelijke: is de partij die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit gebeurt.

De verwerker: is de partij die ‘in opdracht van’ de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De leverancier van uw garagesoftwarepakket kan bijvoorbeeld een verwerker zijn.

Twee aandachtspunten:

  • De verwerking van persoonsgegevens moet de primaire opdracht van de verwerker zijn en niet voorvloeien uit andere dienstverlening. Anders is deze partij geen verwerker, maar waarschijnlijk verwerkingsverantwoordelijke.
  • Als degene die de persoonsgegevens verwerkt onder het gezag van of in een hiërarchische verhouding staat tot de verwerkingsverantwoordelijke, dan is diegene geen verwerker. Een personeelslid dat in opdracht van u als werkgever persoonsgegevens verwerkt is bijvoorbeeld geen verwerker.

Als er sprake is van een verwerkingsverantwoordelijke en een verwerker, dan moeten afspraken in een verwerkersovereenkomst worden vastgelegd.

Let op: is er geen sprake van een verwerkingsverantwoordelijke en een verwerker, maar van gezamenlijke verwerkingsverantwoordelijken? Ook dan moeten bepaalde afspraken worden vastgelegd.

Veelvoorkomende verwerkersovereenkomsten

Met onder andere de volgende partijen kan een verwerkersovereenkomst nodig zijn:

  • Salarisadministrateurs
  • Leveranciers van cloudoplossingen (waaronder DMS- en CRM-systemen, als deze niet uitsluitend lokaal zijn opgeslagen)
  • Klantencontactcenters
  • Reclamebureaus
  • Importeurs (een verwerkersovereenkomst is gelet op de dataconvenanten en de rolverdeling niet altijd nodig) 
  • Lease- en verhuurmaatschappijen
  • Financierings- en verzekeringsmaatschappijen

Let op: er zijn nog veel meer partijen met wie het noodzakelijk kan zijn om een verwerkersovereenkomst te sluiten. Dit moet per geval beoordeeld worden. Bedenk dat u in bepaalde gevallen de verwerkingsverantwoordelijke kunt zijn en in andere gevallen de verwerker. 

Uitzonderingen

Op dit moment geven de volgende partijen aan dat u geen verwerkersovereenkomst met hen hoeft te sluiten:

  • UWV (meer informatie)
  • Pensioenfonds PMT (meer informatie)
  • CBR: zij geven aan dat de opleiders juridisch gezien de gemachtigden van de examen-kandidaten zijn en geen verwerker zijn van het CBR, waardoor een verwerkersovereenkomst niet nodig is.

Gebruik de voorbeeld-verwerkersovereenkomst

In de BOVAG Privacytool kunt u een standaard verwerkersovereenkomst downloaden. Aan de hand van een extra checklist kunt u controleren of uw verwerkersovereenkomst met een derde partij voldoende is ‘dichtgetimmerd’. De BOVAG Privacytool leidt u in zestien stappen door de privacywetgeving. Ga voor meer informatie naar mijn.bovag.nl/privacy. Heeft u vragen over verwerkersovereenkomsten? Neem dan contact op met BOVAG Ledenadvies via (030) 659 53 00.

Lees verder

Deze artikelen zijn ook interessant

Wij maken op deze website gebruik van cookies. Meer informatie is beschikbaar in onze Privacy- en cookieverklaring