Geen vraag te gek
088 973 06 00

Met welke partijen moet ik allemaal een verwerkersovereenkomst sluiten?

Deze vraag komt regelmatig binnen bij ons op Ondernemersservice. Op basis daarvan gaan we wat meer in op de verplichting om onder de AVG een verwerkersovereenkomst te sluiten, want dat hoeft niet met iedereen die persoonsgegevens van jou ontvangt.

De Algemene verordening Gegevensbescherming zegt hier zelf het volgende over:

‘De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.’

Op basis van deze tekst zou je zeggen dat je met vrijwel elke partij aan wie je persoonsgegevens verstrekt een verwerkersovereenkomst moet sluiten. Dat is echter niet het geval. De Handleiding en de Autoriteit Persoonsgegevens geven daarover meer duidelijkheid:

‘U verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke.
U verwerkt ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens wanneer de verwerking van persoonsgegevens uw primaire opdracht is. Met andere woorden, uw dienstverlening moet gericht zijn op het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking. Oftewel, het enkele feit dat u een opdracht krijgt van de verwerkings-verantwoordelijke is niet voldoende om te kunnen spreken van verwerkerschap, de opdracht moet gericht zijn op het verwerken van persoonsgegevens.’


Dus, een andere partij is niet jouw verwerker als de opdracht die je hem geeft niet is gericht op die persoonsgegevens. Een voorbeeld is de opdracht aan een expertisebureau om bij jouw klant een vloer te inspecteren. Het bureau ontvangt van jou het adres en de naam van de klant. Maar de opdracht gaat om het inspecteren. Niet om het verwerken van die naam- en adresgegevens. Het expertisebureau is dus geen verwerker.

Op basis hiervan moet je in ieder geval een verwerkersovereenkomst sluiten met een externe organisatie die jouw salarisadministratie verzorgt, de hostingpartij die jouw website en/of webwinkel beheert, degene die jouw nieuwsbrieven verzend en de partij die back-ups maakt van jouw klantenbestand.

Met wie hoef je als ondernemer in de Retail in ieder geval in beginsel geen verwerkersovereenkomst te sluiten?

  • Jouw personeel
  • Klanten
  • Het Pensioenfonds
  • De Banken
  • De belastingdienst & UWV
  • Arbo Dienst*
  • Leveranciers*

*in sommige gevallen moet er wel een verwerkersovereenkomst worden gesloten, de verwerking van persoonsgegevens is dan de primaire opdracht.

Vaak is het verwerken van persoonsgegevens niet de primaire opdracht, in het geval van de leverancier is dat bijvoorbeeld het leveren van service bij een klant. De leverancier is dan zelf de verwerkingsverantwoordelijke. Hieronder is een reactie ingevoegd van een bank die in Nederland actief is:

‘De bank neemt namelijk zelf cruciale beslissingen over (de doeleinden en middelen van) haar financiële diensten. Zo bepaalt zij onder meer zelf welke diensten zij aanbiedt, welke gegevens daarvoor nodig zijn, voor welke doeleinden de gegevens worden gebruikt ( bijv. fraudebestrijding, zorgplicht), hoe de beveiliging daarvan is geregeld, en waar en hoe lang de betalingsgegevens worden bewaard. BANK X is in haar functie van bank ook wettelijk verplicht om deze bedrijfsprocessen en risico’s zelf te beheersen, waarbij zij onder scherp toezicht staat van de toezichthouders.

BANK X moet in deze context dan ook (mede) worden aangemerkt als verwerkingsverantwoordelijke..’

Zelf een verwerkersovereenkomst nodig? Ga aan de slag met de tool die INretail aan haar leden aanbiedt en loop in 15 stappen door de nieuwe privacywetgeving. De tool bevat handige hulpdocumenten zoals een verwerkersovereenkomst.

Delen