Een verwerkersovereenkomst is een contract dat in toepassing van de GDPR wetgeving moet opgesteld worden tussen de verwerkingsverantwoordelijke en de door hem aangestelde verwerkers.
De overeenkomst is toepasselijk van zodra er sprake is van verwerking van persoonsgegevens.
De GDPR beschouwt de volgende informatie als persoonsgegevens:
“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”
Van zodra een natuurlijke persoon dus direct of indirect te identificeren valt is er sprake van persoonsgegevens.
Het begrip “verwerking” is zeer ruim omschreven als volgt:
“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;”
De “verwerkingsverantwoordelijke” is de instanties die het doel en de middelen voor de verwerking van de persoonsgegevens vastlegt. In de meeste gevallen is dat ook de organisatie die de persoonsgegevens heeft verzameld.
De “verwerker” is zeer ruim vastgelegd als de instantie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.