Met welke partijen dien ik een verwerkersovereenkomst af te sluiten?

Als je als webwinkel andere organisaties inschakelt om persoonsgegevens voor jouw organisatie te verwerken, moet je met deze organisaties een verwerkersovereenkomst afsluiten. Dit is bijvoorbeeld het geval als je als webwinkel een payment service provider inschakelt om de betalingen te verwerken, als een hostingbedrijf jouw website beheert of als de reviews op je producten of diensten mogelijk worden gemaakt door een externe partij. Bij het opstellen van een verwerkersovereenkomst worden de taken en verantwoordelijkheden van de partij die de persoonsgegevens voor jou gaat verwerken vastgelegd en wordt er rekening gehouden met de risico’s van de verwerking voor de privacy van de consument. Volgens de AVG moeten in de overeenkomst verplicht afspraken worden gemaakt over de doelen waarvoor de gegevens worden verwerkt, op welke manier dit (technisch en organisatorisch) gebeurt en welke beveiligingsmaatregelen hierbij worden genomen. Er dienen met (individuele) bedrijven verwerkersovereenkomsten te worden afgesloten als je persoonsgegevens met deze bedrijven deelt.

Als je overigens via een payment service provider bijvoorbeeld VISA aanbiedt, dan hoef je niet per betaaloptie een verwerkersovereenkomst af te sluiten. De payment service provider die de (betaal)gegevens voor jou verwerkt, zal aangeven dat derde (sub)verwerkers bij de verwerking van deze betaalgegevens zijn toegestaan, omdat zij anders de overeenkomst niet kunnen uitvoeren.