Wanneer je een ander bedrijf of organisatie aanstelt om persoonsgegevens voor je te verwerken waarvoor jouw bedrijf verantwoordelijk is, moet je een verwerkersovereenkomst (oftewel: Data Processing Agreement 'DPA') afsluiten. Dit is vastgelegd in de AVG onder artikel 28 lid 3.
Met een verwerkersovereenkomst sluit je uit dat het andere bedrijf of organisatie de persoonsgegevens verwerkt voor eigen of andere doelen.
Het is verstandig, en voor sommige bedrijven zelfs wettelijk verplicht, om de volgende onderwerpen vast te leggen in een verwerkersovereenkomst:
Algemene beschrijving
Hoe de verwerking plaats vindt
Geheimhoudingsplicht
Beveiliging
Eventuele subverwerkers
Eventuele doorgifte van persoonsgegevens
Privacyrechten
Datalekken
Verwijderen van gegevens
Audits
Aansprakelijkheid