Layer 1
11.10.2023
Verwerkersovereenkomst: ben ik verwerker, sub-verwerker of verwerkingsverantwoordelijke?

3 minuten lezen


Wie ben ik; wát ben ik? Belangrijke levensvragen die net zo belangrijke zijn bij het verwerken van persoonsgegevens. Daar komt namelijk veel bij kijken en het moet goed gebeuren. Anders voldoe je niet aan de AVG-richtlijnen. De afspraken over verwerking van persoonsgegevens worden vastgelegd in een verwerkersovereenkomst. In deze blog gaan we dieper in op de mensen die hierbij betrokken zijn: de verwerker, sub-verwerker en verwerkingsverantwoordelijke.

Zoals je in onze blog over de verwerkersovereenkomst kunt lezen, zijn er verschillende betrokkenen bij een verwerkingscontract In het kort gaat het om de volgende rollen:

  • De verwerkingsverantwoordelijke: de persoon of het bedrijf die opdracht geeft om gegevens te laten verwerken en op welke manier dit gebeurt
  • De verwerker: de persoon of het bedrijf die in opdracht van een ander bedrijf gegevens verwerkt
  • De sub-verwerker: de persoon of het bedrijf die gegevens verwerkt voor de verwerker, wanneer de verwerker dit uitbesteedt

In de verwerkersovereenkomst wordt vastgelegd wat de afspraken zijn tussen deze betrokkenen.

Verwerkingsverantwoordelijke schakelt verwerker in
Als organisatie verwerk je bijna altijd persoonsgegevens, bijvoorbeeld voor je loonadministratie of klantcontact. Je ontkomt er bijna niet aan. Daarmee zijn bijna alle organisaties verwerkingsverantwoordelijke. Die benaming, verwerkingsverantwoordelijke, kan je heel letterlijk nemen: diegene is verantwoordelijk voor wat er met persoonsgegevens gebeurt, waarom dat gebeurt en hoe dat gebeurt.

Zoals de naam al doet vermoeden, brengt dit bepaalde verantwoordelijkheden met zich mee. Zo ben je verplicht om persoonsgegevens te beveiligen en om de personen over wie deze gaan in bepaalde gevallen te informeren. Belangrijk om te weten is dat de organisatie die de opdracht geeft, altijd verantwoordelijk blijft, ook wanneer de verwerking wordt uitbesteed. Afspraken vastleggen in een verwerkersovereenkomst is daarom ook zo belangrijk.

Verwerker werkt voor verwerkingsverantwoordelijke
Als je persoonsgegevens verwerkt voor een andere organisatie, ben je verwerker. Daarbij is belangrijk of de verwerking ook echt onderdeel is van de opdracht, of dat het uit de opdracht voortkomt. Dit kan een lastig onderscheid zijn. Bekijk onze blog daarover om precies te weten hoe dit zit. Als je verwerker bent, spreek je dus goed af op welke manier je de gegevens verwerkt. Dit doe je met de verwerkingsverantwoordelijke en dit leg je vast in de verwerkersovereenkomst. Zo kan er geen onduidelijkheid meer zijn over wie wat doet en op welke manier.

Sub-verwerker verwerkt persoonsgegevens voor verwerker
Soms neemt een verwerker ook weer iemand in dienst om gegevens te verwerken. Dat noemen we een sub-verwerker. De sub-verwerker werkt indirect voor de verwerkingsverantwoordelijke, maar zij hebben verder niet met elkaar te maken. De verwerker sluit met de sub-verwerker ook weer een verwerkersovereenkomst af. Daardoor is de oorspronkelijke verwerker in dit verband meer een verwerkingsverantwoordelijke. Denk eraan dat je als verwerker vaak toestemming nodig hebt van de verwerkingsverantwoordelijke om een sub-verwerker in te schakelen.


Verwerkingsverantwoordelijke of verwerker?
Wij hebben nog nooit zo vaak het woord ‘verwerker’ getypt. We hopen dus dat jij het nog een beetje begrijpt :-) Want vooral wanneer er een sub-verwerker in het spel komt, kan onduidelijk zijn wie eigenlijk de verwerker is en wie de verwerkingsverantwoordelijke. Daarom zet je altijd duidelijk in de overeenkomst wie de opdracht heeft gegeven tot het verwerken van persoonsgegevens. Zo vind je ook jaren later nog terug hoe de samenwerking tot stand gekomen is.

Een enkele keer kan je trouwens zowel verwerker als verantwoordelijke zijn. Een hostingpartij slaat bijvoorbeeld persoonsgegevens op voor een opdrachtgever. Daarvoor is de hostingpartij verwerker. Tegelijk heeft deze zelf medewerkers in dienst. De persoonsgegevens daarvan staan ook op servers van die hostingpartij. Voor die gegevens is het bedrijf verwerkingsverantwoordelijke. In de ene situatie kun je dus verwerker zijn, terwijl je in een andere situatie verantwoordelijke bent.

Ben je gevraagd om gegevens te verwerken of ben je hier juist omdat je dit wil uitbesteden? In beide gevallen moet je een verwerkersovereenkomst opstellen. En je hebt geluk, want je maakt eenvoudig en snel een gepersonaliseerde overeenkomst via onze tool. Zo kan je met een gerust hart ondernemen.

Gerelateerde artikelen
18.10.2023
Persoonsgegevens beschermen: welke maatregelen moet je nemen?
Lees meer
23.08.2023
Cookies en toestemming: waar moet je op letten?
Lees meer
23.10.2023
Persoonsgegevens verwerken? In deze gevallen heb je een verwerkersovereenkomst nodig
Lees meer

In een verwerkersovereenkomst zijn er meerdere betrokkenen: de verwerker, sub-verwerker en verwerkingsverantwoordelijke. De afspraken over de verwerking van persoonsgegevens worden vastgelegd in een verwerkersovereenkomst.

Lees meer
Verberg

Bedankt!