Waarom is dit van belang? 

Heel simpel. Wanneer je verplicht bent om een verwerkersovereenkomst te sluiten, maar dit niet doet, ben je in overtreding van de AVG en onderworpen aan de handhaving door de Autoriteit Persoonsgegevens. Daarnaast ben je aansprakelijk voor het ontbreken van de overeenkomst en loop je risico op juridische claims.

Even een stapje terug... Wat wordt met een verwerkersovereenkomst bedoeld? De verwerkersovereenkomst is een contract tussen partijen die samen persoons-gegevens verwerken en waarin alle afspraken rondom de verwerking van persoonsgegevens staan.

Denk aan AVG-verplichtingen, zoals audits of meldingen van datalekken, maar ook aansprakelijkheid voor boetes en claims voor privacyschendingen.

Een verwerkersovereenkomst is - in tegenstelling tot de privacyverklaring - niet altijd verplicht als je iets met persoonsgegevens doet. Je moet wel een verwerkersovereenkomst hebben als één van de volgende situaties zich voordoet.

1. Je huurt iemand in

Stel je organisatie huurt iemand in voor een project of bepaalde diensten binnen jouw organisatie. Diegene verwerkt in het kader van de opdracht persoonsgevens van je medewerkers of klanten. In dat geval ben je als opdrachtgever verplicht om een verwerkersovereenkomst te sluiten met je opdrachtnemer.

2. Je (ver)werkt in opdracht

Een ander voorbeeld: je verwerkt bij de uitvoering van een opdracht voor een andere organisatie persoonsgegevens. Dit is dus de omgekeerde situatie als hiervoor genoemd. De verplichting geldt namel zowel voor de opdrachtgever als voor de opdrachtnemer.

In dat geval is je organisatie verplicht om dit goed vast te leggen in een verwerkers-overeenkomst met je opdrachtgever.

3. Je werkt samen met een derde partij

Stel nou dat je (een deel van) de opdracht vervolgens uit laat voeren door een derde, dan moet je ook met diegene een (sub)verwerkersovereenkomst sluiten.

Verwerken jullie samen persoonsgege-vens, zonder dat er een opdrachtgever bij betrokken is? Dan zijn jullie verplicht om een data-uitwisselovereenkomst te sluiten.

En nu?

Is jouw organisatie verplicht om een verwerkersovereenkomst te sluiten? Dan doe je er goed aan om dit snel te regelen. De verwerkersovereenkomst kun je zowel onderdeel van je overeenkomst van opdracht als los daarvan afsluiten. Loopt de opdracht of samenwerking al? Geen probleem, dan kun je alsnog een verwerkersovereenkomst sluiten die met terugwerkende kracht in werking treedt.

Als je organisatie niet verplicht is om een verwerkersoverernkomst af te sluiten, dan hoef je hiervoor nu geen verdere stappen te ondernemen. Vergeet echter niet om betrokkenen te informeren over wat je met hun gegevens doet. Dat kan bijvoorbeeld door middel van een privacyverklaring.