Wanneer nodig

Wanneer moet je een verwerkersovereenkomst afsluiten

Dat hangt er vanaf.

Wanneer wel

Als een organisatie of persoon in opdracht van jou (verwerkingsverantwoordelijke) persoonsgegevens verwerkt en jij degene bent die aangeeft met welke persoonsgegevens er wat gebeurt, voor hoe lang, onder welke voorwaarden etc., etc. Die afspraken leg je vast in een verwerkersovereenkomst. Denk hierbij aan (externe dienstverlening zoals):

  • Cloudproviders
  • Websitebouwers: die zorgen voor opslaan, doorgeleiden, etc., van persoonsgegevens uit digitale aanmeldformulieren, etc.
  • Factoringmaatschappij: die zorgt voor de afhandeling van zorgdeclaraties
  • Salarisadministratiebedrijven / Payrollbedrijven
  • Beheerpartijen / hostingbedrijven van applicaties waarin persoonsgegevens worden verwerkt

Op de site van de Autoriteit Persoonsgegevens lees je uitgebreidere informatie over verwerkersovereenkomsten.

Wanneer niet

Als een organisatie of persoon weliswaar persoonsgegevens van jouw klanten of patiënten ziet, maar hij niet als opdracht heeft om die persoonsgegevens te verwerken. Denk hierbij aan:

  • Boekhouder / accountant: zijn opdracht is niet om persoonsgegevens te verwerken maar om de boeken te controleren.
  • Collega’s die post in postbakjes leggen: hun opdracht is het ervoor zorgen dat de post in het goede bakje landt. Niet om iets te doen met de adressen die op de enveloppen staan.

Maak wel goede afspraken: geheimhoudingsverklaring

Met boekhouders, accountants, vrijwilligers, etc. hoef je dus geen verwerkersovereenkomst af te sluiten. Maar maak wel goede afspraken over de vertrouwelijke omgang met persoonsgegevens. Die leg je bijvoorbeeld vast in een geheimhoudingsverklaring, of in een arbeidscontract.

Voorbeelden van verwerkersovereenkomsten

  • Voor een model verwerkersovereenkomst in het zorg- en sociaal domein, klik hier.
  • Voor een model verwerkersovereenkomst in de sport, klik hier.