In de verwerkingsovereenkomst leg je vast op welke manier een andere partij omgaat met de persoonsgegevens die jij hebt verzameld. Zo spreek je bijvoorbeeld af:
Grote kans dat jij persoonsgegevens van je klanten, bezoekers of gebruikers verzamelt. Zodra je gegevens bewaart, waar je een persoon direct of indirect mee kunt identificeren (zoals: naam, e-mailadres, telefoonnummer en IP-adres), verzamel je namelijk al persoonsgegevens.
Als externe partijen gaan werken met deze persoonsgegevens door ze (bijvoorbeeld) op te slaan, in te zien of te verwijderen, ben je wettelijk verplicht een verwerkingsovereenkomst met hen af te sluiten. Denk bijvoorbeeld aan een salarisadministratiekantoor. Zij krijgen van jou de persoonsgegevens aangeleverd en gaan daarmee aan de slag.
Jij bent de verantwoordelijke
Jij bent zelf verantwoordelijk voor de manier waarop de externe partij (de verwerker) omgaat met de persoonsgegevens. Ook als de bewerker een dochteronderneming van jouw bedrijf is, ben je verplicht de verwerkingsovereenkomst af te sluiten. Sluit daarom altijd een verwerkingsovereenkomst af.
Verwerking buiten de EU
De verwerker mag de persoonsgegevens niet buiten de EU verwerken, tenzij er speciale maatregelen worden genomen om de gegevens op een passende manier te beschermen.
Is de verwerker niet ook verantwoordelijke?
Het kan zijn dat jij niet de enige bent die het doel en de middelen van de verwerking vaststelt. Als de verwerker de data ook voor andere doeleinden gebruikt dan afgesproken met de verantwoordelijke, dan is een verwerkingsovereenkomst niet voldoende. De andere partij is dan mede-verantwoordelijke en moet ook voldoen aan de vereisten uit de Wet bescherming persoonsgegevens. Dit komt in de praktijk vaak voor en misverstanden zijn eerder regel dan uitzondering.
De verwerkingsovereenkomst is een overeenkomst van opdracht tot verwerking van persoonsgegevens. Degene die de opdracht geeft is de verantwoordelijke en diegene moet dus ook bepalen voor welk doel de persoonsgegevens mogen worden verwerkt. Meestal heeft de verwerker een actieve rol: de verantwoordelijke geeft alleen de gegevens en de verwerker gaat ermee aan de slag ten behoeve van de verantwoordelijke, bijvoorbeeld voor salarisadministratie. Maar ook voor de opslag van gegevens bij een hosting provider heb je een verwerkingsovereenkomst nodig.
