Wanneer moet een verwerkersovereenkomst worden gesloten?

Ondernemingen die persoonsgegevens verwerken van andere bedrijven dienen een verwerkersovereenkomst te sluiten. Er zijn echter ook een heleboel gevallen waarin een verwerkersovereenkomst niet nodig is maar wanneer is dat het geval?

Om te bepalen of een organisatie verplicht is om een verwerkersovereenkomst  te sluiten is belangrijk om vast te stellen of de organisatie een verwerker of een verwerkingsverantwoordelijke is. Een verwerkingsverantwoordelijke stelt zelf de doel en de middelen van de verwerking vast. Anders gezegd een verwerkingsverantwoordelijke bepaalt zelf hoe zij de persoonsgegevens gebruikt en waarvoor. Bijvoorbeeld in de situatie dat een organisatie zijn loonadministratie uitbesteedt bij een andere organisatie is de organisatie zelf de verwerkingsverantwoordelijke. De organisatie bepaalt immers welke gegevens zij aan de loonadministratie door geeft en wat daarmee gebeurt.

Een verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke. Het gaat bijvoorbeeld om de ICT beheerder, de accountant die de boekhouding doet voor een ander bedrijf enzovoort.

Er zijn ook veel situaties te noemen wanneer er wel persoonsgegevens worden verwerkt door een bedrijf maar dat er geen verwerkersovereenkomst nodig is omdat er een andere grondslag is voor de gegevensverwerking. Zo hoeft een werkgever niet met zijn werknemers een verwerkersovereenkomst te sluiten omdat de werknemers in dienst zijn bij de werkgever en dus geen verwerker zijn. 

Vaak ontbreekt het element van de zeggenschap waardoor een verwerkersovereenkomst niet nodig is. Wanneer u een overeenkomst van opdracht sluit dan heeft u in veel gevallen enige vrijheid bij het uitvoeren van de opdracht, bijvoorbeeld het bouwen van een huis of het laten vervoeren van spullen of goederen. De opdrachtgever hoeft in dat geval geen verwerkersovereenkomst te sluiten met de opdrachtnemer omdat de opdrachtnemer zelf bepaalt welke persoonsgegevens worden verwerkt en hoe dat gebeurt. Het element zeggenschap ontbreekt.

De Autoriteit Persoonsgegevens heeft een handig schema om te bepalen of een bedrijf een verwerker of een verwerkingsverantwoordelijke is, dit schema vindt u hier.