Home
Privacyrecht
Verwerkingsverantwoordelijke

Verwerkings-verantwoordelijke

Wanneer je als organisatie persoonsgegevens verwerkt of laat verwerken door een derde partij, dan wil je er zeker van zijn dat aan de AVG wordt voldaan. Als sprake is van een verwerkingsverantwoordelijke – verwerker relatie, dan is een verwerkersovereenkomst verplicht. Bepalen welke partij welke rol heeft, kan voor onduidelijkheden zorgen. Bij het bepalen van deze rollen en het eventuele opstellen van een verwerkersovereenkomst kunnen wij jou helpen.

Direct contact opnemen
Herma-Deventer-2

Verwerkingsverantwoordelijke of verwerker?

Elke organisatie die persoonsgegevens verwerkt heeft een rol volgens de AVG: verwerkingsverantwoordelijke of verwerker. Een verwerkingsverantwoordelijke is (eind)verantwoordelijke voor de verwerkingen en de persoonsgegevens die daarmee gemoeid zijn. Zij is ook het eerste aanspreekpunt voor de betrokkenen waarover de persoonsgegevens gaan.

De verwerker handelt in opdracht van de verwerkingsverantwoordelijke. Zij bepaalt in beginsel niet hoe zij met persoonsgegevens  omgaat, maar volgt instructies op. De verwerker en de verwerkingsverantwoordelijke zijn in beginsel gehouden hiervoor een verwerkersovereenkomst af te sluiten.

Criteria om rol te bepalen

Bij de inschakeling van een verwerker door een verwerkingsverantwoordelijke is een verwerkersovereenkomst volgens de AVG verplicht. Overigens blijkt dat organisaties met de komst van de AVG met alle partners een verwerkersovereenkomst willen sluiten. Dit is een veelgemaakte fout. Als verwerkingsverantwoordelijke is een organisatie enkel verplicht een verwerkersovereenkomst te sluiten met een partij die specifiek de opdracht krijgt om persoonsgegevens te verwerken namens de verantwoordelijke.

Het gaat hier dus niet om partijen die persoonsgegevens nodig hebben om vervolgens zelf een dienst of product aan elkaar te kunnen leveren. Vaak is het doel op dat moment ook niet de verwerking van persoonsgegevens en dienen de persoonsgegevens alleen ter ondersteuning van de overeenkomst.

Twee voorbeelden ter illustratie. Een bedrijf dat de salarisadministratie overneemt is een verwerker waarvoor een verwerkersovereenkomst verplicht is. Het verwerken van de persoonsgegevens is hier de kern van de overeenkomst. Een installateur waarmee een onderhoudsovereenkomst wordt gesloten, verwerkt ook persoonsgegevens, bijvoorbeeld persoonsgegevens van de contactpersonen. De persoonsgegevens dienen dan alleen ter ondersteuning van de overeenkomst. In dit tweede voorbeeld is dus geen verwerkersovereenkomst nodig.

Opstellen verwerkersovereenkomst

Wanneer de persoonsgegevens rechtsgeldig zijn verzameld door jouw organisatie, kan het zo zijn dat je het overige deel van het verwerkingsproces uit handen wilt geven aan een andere partij. Wees er daarbij van bewust dat je in deze gevallen ook afspraken maakt hoe omgegaan moet worden met de persoonsgegevens. Bijvoorbeeld: wie dient een melding te doen wanneer een datalek optreedt? En wat mag de bewerker allemaal met jouw gegevens doen? Wie neemt het verzoek van een betrokkene in behandeling? Ook processueel gezien is het verstandig om de verhoudingen goed vast te leggen. Deze afspraken leg je vast in een verwerkersovereenkomst.

Naast de verplichting om een verwerkersovereenkomst op te stellen, bestaan nog een aantal aanvullende eisen uit de AVG. Deze kan je lezen op de pagina over verplichtingen bij het verwerken van persoonsgegevens.

Leonie Ouwersloot-Koster
Wij staan voor je klaar

Moet je een verwerkersovereenkomst opstellen?

Vul het onderstaande formulier in en dan helpen we je bij het opstellen of nakijken van een verwerkersovereenkomst.

Neem contact op

Direct contact opnemen

Heb je een vraag of wil je dat één van onze collega’s contact met je opneemt? Via het onderstaand formulier kun je ons een bericht sturen.