Wanneer nodig
Wanneer moet je een verwerkersovereenkomst afsluiten
Dat hangt er vanaf.
Wanneer wel
Als een organisatie of persoon in opdracht van jou (verwerkingsverantwoordelijke) persoonsgegevens verwerkt en jij degene bent die aangeeft met welke persoonsgegevens er wat gebeurt, voor hoe lang, onder welke voorwaarden etc., etc. Die afspraken leg je vast in een verwerkersovereenkomst. Denk hierbij aan (externe dienstverlening zoals):
- Cloudproviders
- Websitebouwers: die zorgen voor opslaan, doorgeleiden, etc., van persoonsgegevens uit digitale aanmeldformulieren, etc.
- Factoringmaatschappij: die zorgt voor de afhandeling van zorgdeclaraties
- Salarisadministratiebedrijven / Payrollbedrijven
- Beheerpartijen / hostingbedrijven van applicaties waarin persoonsgegevens worden verwerkt
Op de site van de Autoriteit Persoonsgegevens lees je uitgebreidere informatie over verwerkersovereenkomsten.
Wanneer niet
Als een organisatie of persoon weliswaar persoonsgegevens van jouw klanten of patiënten ziet, maar hij niet als primaire opdracht heeft om die persoonsgegevens te verwerken. Denk hierbij aan:
- Je schakelt een advocaat in. Dat doe je doorgaans niet met de opdracht om persoonsgegevens voor je te verwerken. Maar wel om je van advies te voorzien bij een juridische kwestie. De persoonsgegevens die daarbij verwerkt worden vallen onder de verwerkingsverantwoordelijkheid van de advocaat. Hiervoor is daarom geen verwerkersovereenkomst nodig.
- Je schakelt een ZZP’er in. Als deze ZZP’er zijn werkzaamheden onder jouw rechtstreekse gezag uitvoert, dan is hij geen verwerker en hoeft dus geen verwerkersovereenkomst gesloten te worden.
Maak wel goede afspraken: geheimhoudingsverklaring
Met zzp’ers, advocaten, vrijwilligers, etc. hoef je doorgaans geen verwerkersovereenkomst af te sluiten. Maar maak wel goede afspraken over de vertrouwelijke omgang met persoonsgegevens. Die leg je bijvoorbeeld vast in een geheimhoudingsverklaring, of in een arbeidscontract.