Als uw organisatie een andere organisatie inschakelt om persoonsgegevens voor u te verwerken, dan is wat privacy betreft de eerste vraag of die andere organisatie dan een verwerker is of zelf (ook) een verwerkingsverantwoordelijke. Alleen als de andere organisatie een verwerker is, moet een verwerkersovereenkomst worden afgesloten. Hier bestaan nogal eens misverstanden over. De AP werkt het overzicht met voorbeelden nog regelmatig bij.

Als inderdaad sprake is van een relatie verwerkingsverantwoordelijke – verwerker dan is een verwerkersovereenkomst noodzakelijk. Dit kan een los document zijn, of onderdeel van de bredere samenwerkingsovereenkomst die u met elkaar sluit.

Onderwerpen die in elk geval in een verwerkersovereenkomst moeten zijn vastgelegd zijn:

• omschrijving onderwerp, duur, aard en doel van de verwerking; soort persoonsgegevens, categorieën van betrokkenen
• rechten en verplichtingen van de verwerkingsverantwoordelijke
• dat verwerking alleen geschiedt conform de schriftelijke instructies van de verwerkingsverantwoordelijke
• geheimhoudingsplicht
• technische en organisatorische beveiligingsmaatregelen die de verwerker moet nemen
• inschakeling van subverwerkers alleen met schriftelijke toestemming van de verwerkingsverantwoordelijke en met een subverwerkersovereenkomst
• rechten van betrokkenen (hoe om te gaan met recht op inzage e.d.)
• andere verplichtingen, zoals helpen bij het melden van datalekken of het uitvoeren van een DPIA
• wat er bij afloop van de verwerkingsdiensten met de gegevens gebeurt (vernietiging, overdracht)
• audits.