Zorgorganisaties schakelen vaak derden in voor de verwerking van persoonsgegevens. Bijvoorbeeld bij de uitbesteding van de boekhouding, de inhuur van een partij die vragenlijsten afneemt bij patiënten of bij webhosting.
Deze ingeschakelde organisaties heten verwerkers. Voordat zij gegevens mogen verwerken, moet zowel de verwerkingsverantwoordelijke (de zorgorganisatie) als de verwerker afspraken hierover vastleggen. Dit wordt gedaan in een verwerkersovereenkomst.
Een verwerkingsverantwoordelijke en een verwerker moeten samen een verwerkersovereenkomst afsluiten. Hierin leggen beide partijen afspraken vast over wat de verwerker wel en niet mag doen met die persoonsgegevens. Worden er geen afspraken vastgelegd in een verwerkersovereenkomst? Dan zijn beide partijen in overtreding.