Verwerkers­overeenkomst, met wie wel/niet?

In ieder geval sluit je géén verwerkers­overeenkomst met:

  1. Uw eigen personeel. Die zijn deel van uw eigen organisatie, en staab onder uw gezag als verwerkings­verantwoordelijke. Zorg ervoor dat ze zich aan uw privacy­beleid houden, maar zij zijn nooit verwerkers.
  2. Uw vrijwilligers, stagaires en ingehuurde krachten (bijvoorbeeld uitzendkrachten). Zij vallen onder het kopje “personen onder gezag” van uw organisatie en zijn dus geen verwerkers.
  3. Bedrijven die contactgegevens in hun eigen systeem stoppen, voor eigen bedrijfsvoering. Zorg er wel voor dat u goede afspraken met hen maakt over hoe deze beveiligd worden.
  4. Diensten zoals Mollie of PostNL, zij zijn zelf verantwoordelijk voor verwerkingen, niet u.
  5. De personen wiens persoonsgegevens u verwerkt. Dat zijn de betrokkenen, geen verwerkers.

Wie zijn dan wel verwerkers?

Partijen die u als derden inschakeld en die processen voor u uitvoeren. Denk hierbij aan:

  1. Marketeers, en dan met nadruk op de daadwerkelijke personen die u inhuurt om dit voor uw organisatie uit te voeren.
  2. IT-Bedrijven / Programmeurs. Heeft u een programmeur /webbureau ingeschakeld voor het maken van uw website/ webapplicatie? Hebben ze database/FTP gegevens? Of toegang tot het CMS/CRM. Dan zijn dit verwerkers waar u een verwerkings­overeenkomst mee moet afsluiten.
  3. Loonadministratie. Heeft u een extern bureau ingeschakeld voor uw loonsadministratie, dan verwerken zij de persoonsgegevens van uw personeel, en ook hier moet u een verwerkings­overeenkomst over afsluiten.

Binnen de AVG Cloud Register oplossing kan naast voldoen aan de documentatieplicht, ook overeenkomsten gegenereerd en bijgehouden. Door reeds ingevoerde data te hergebruiken, is een verwerkers­overeenkomst nog slechts enkele klikken weg.

Meer praktijkvoorbeelden Oplossingen bekijken