Een verwerkersovereenkomst wordt gesloten tussen een verwerkingsverantwoordelijke en een verwerker. Het bedrijf dat het doel en de middelen van het gebruik van de persoonsgegevens bepaalt is de verwerkingsverantwoordelijke. Het bedrijf dat de uiteindelijke verwerking doet van de persoonsgegevens is de verwerker. Indien de verwerkingsverantwoordelijke het verwerken uitbesteed aan een ander bedrijf is hij verplicht een verwerkersovereenkomst af te sluiten. Deze verplichting geldt ook voor de verwerker.
De verwerkersovereenkomst schrijft voor op grond van welk doel en op welke wijze er verwerkt wordt. De verwerker dient dit strikt op te volgen, hij mag niet op een andere wijze of met een ander doel de verwerkingen gaan uitvoeren. De verwerkingsverantwoordelijke controleert hierop, een standaard onderdeel van de verwerkersovereenkomst is dan ook de mogelijkheid tot het (laten) uitvoeren van (jaarlijkse) audits.
Eén van de kernpunten van de verwerkersovereenkomst is het garanderen van voldoende maatregelen met betrekking tot veiligheid van de persoonsgegevens. Dit kan per casus verschillen: het beschermingsniveau moet in verhouding staan tot de te verwerken gegevens. De maatregelen kunnen verdeeld worden in technische maatregelen en organisatorische maatregelen. Een voorbeeld van een technische maatregel is het versleutelen van persoonsgegevens. Een voorbeeld van een organisatorische maatregel is personeel slechts beperkte toegang tot de persoonsgegevens geven.
Onderdelen van de verwerkersovereenkomst:
- welke (soort) persoonsgegevens er worden verwerkt;
- op welke wijze en voor welke doelen de persoonsgegevens worden verwerkt;
- de betreffende technische en organisatorische maatregelen;
- aan welke partijen de persoonsgegevens verstrekt kunnen worden en onder welke voorwaarden dit kan gebeuren;
- de mogelijkheid tot audits;
- procedures omtrent datalekken;
- de rechten van de persoon op wie de persoonsgegevens betrekking hebben en hoe deze worden opgevolgd;
- wanneer en op welke manier de gegevens weer verwijderd worden.