De meeste organisaties die persoonsgegevens delen met een externe partij – zoals voor salarisadministratie of marketing – zijn verplicht om een verwerkersovereenkomst af te sluiten. Dat volgt uit de AVG. In een eerder artikel legden we uit wat zo’n overeenkomst precies is. Maar er zijn ook situaties waarin je juist géén verwerkersovereenkomst nodig hebt. Hier lees je wanneer dat het geval is.
Wanneer wél een verwerkersovereenkomst?
Een verwerkersovereenkomst is verplicht als jij als organisatie persoonsgegevens laat verwerken door een andere partij, die dat namens jou doet. Bijvoorbeeld:
- Je schakelt een accountant in die loonstroken en persoonsgegevens van je medewerkers verwerkt.
- Je stuurt klantgegevens naar een marketingbureau voor een e-mailcampagne.
- Je gebruikt een CRM-systeem dat klantdata opslaat.
Zolang het gaat om herleidbare persoonsgegevens (zoals naam, e-mailadres, kenteken) én een partij die deze gegevens namens jou verwerkt, moet er een verwerkersovereenkomst zijn. Maar wanneer hoeft dat dan niet?
- Geen sprake van persoonsgegevens of verwerking
Niet alle data valt onder de AVG. Een verwerkersovereenkomst is niet nodig als:
- De gegevens volledig geanonimiseerd zijn (dus niet meer te herleiden tot een persoon);
- De data geen betrekking heeft op personen, maar bijvoorbeeld op producten of machines;
- Je de gegevens alleen bekijkt, maar niet opslaat, aanpast of doorstuurt.
Zonder verwerking van persoonsgegevens is er dus ook geen verwerkersovereenkomst nodig.
- De gegevens blijven intern
Verwerk je persoonsgegevens binnen je eigen organisatie, dan ben je zelf zowel verwerkingsverantwoordelijke als uitvoerder. Een voorbeeld: je HR-afdeling verwerkt personeelsgegevens van je medewerkers. Omdat je dan geen externe partij inschakelt, is een aparte overeenkomst niet nodig.
Let op: werk je met een externe HR-adviseur of salarisverwerker? Dan geldt dit níet meer als intern. In dat geval moet je wél een verwerkersovereenkomst afsluiten.
- Gezamenlijke verwerkingsverantwoordelijkheid
In sommige samenwerkingen bepaal je samen met een andere organisatie welke gegevens worden verzameld, waarom en hoe. Dan is er geen sprake van een ‘verwerker die jouw instructies volgt’, maar van gezamenlijke verantwoordelijkheid. Een voorbeeld: je levert gegevens aan een pensioenuitvoerder. Die partij beslist zélf welke gegevens nodig zijn en hoe ze worden verwerkt. De pensioenuitvoerder is in dat geval geen verwerker, maar een zelfstandige verantwoordelijke. Je hoeft dan geen verwerkersovereenkomst te sluiten.
Wel is het verstandig om onderling goede afspraken te maken, bijvoorbeeld over wie melding doet bij een datalek of hoe gegevens veilig worden uitgewisseld. Dat hoeft geen formele verwerkersovereenkomst te zijn, maar de afspraken moeten wel duidelijk en transparant zijn.
Conclusie
Een verwerkersovereenkomst is alleen nodig als je persoonsgegevens laat verwerken door een partij die dat in jouw opdracht doet. In andere situaties (zoals bij geanonimiseerde gegevens, interne verwerking of gezamenlijke verantwoordelijkheid) is zo’n overeenkomst niet verplicht. Maar ook dan is het belangrijk om heldere afspraken te maken over ieders rol en verantwoordelijkheden.
Meer weten of persoonlijk advies nodig over jouw situatie? Neem vrijblijvend contact met ons op!