Vraag & antwoord
Moet je met buitenlandse bedrijven ook een verwerkersovereenkomst afsluiten?
Geplaatst door Kennisnet op 05 oktober 2018 12:14:49

Als verwerkingsverantwoordelijke dien je je te houden aan de AVG die in Nederland geldt, dus moet je ook met buitenlandse leveranciers een verwerkersovereenkomst afsluiten. Meer informatie hierover vind je op de website van het privacyconvenant: https://www.privacyconvenant.nl/. 

Buitenlandse bedrijven
 moeten zich aan ook de AVG (In het Engels: GDPR) houden zolang ze in de EU gevestigd zijn. Als een leverancier in een ander land dan binnen de Europese Economische Ruimte (https://www.rijksoverheid.nl/onderwerpen/europese-unie/vraag-en-antwoord/welke-landen-horen-bij-de-europese-economische-ruimte-eer) is gevestigd, gelden er aanvullende regels. Je mag dan alleen gegevens uitwisselen als er in dat land een zelfde of soortgelijk bescherming voor persoonsgegevens geldt. Voor Amerikaanse bedrijven geldt er alleen een gelijkwaardig beschermingsniveau als:  

  1. dat specifiek in een verwerkersovereenkomst is opgenomen. We noemen dit 'model contract clauses', speciaal gedicteerde teksten over de bescherming van persoonsgegevens. 
  2. binding Corporate Rules (BCR) gebruikt: dit is voor het onderwijs niet van toepassing. Een bedrijf kan kiezen om zichzelf speciale strenge regels op te leggen. 
  3. het bedrijf is aangesloten bij het EU-VS PrivacyShield. Het bedrijf moet dan letterlijk opgenomen zijn in de lijst van 'veilige' bedrijven: https://www.privacyshield.gov/list 

De regels voor het uitwisselen van gegevens met leveranciers van buiten de EER is lastig, vraag hiervoor advies aan een deskundige. 

Als er geen persoonsgegevens bij de verwerking betrokken zijn, dan hoef er geen verwerkersovereenkomst afgesloten te worden. Wel is het verstandig om met die partijen een contract of SLA af te sluiten om de dienstverlening goed te regelen.


Dit antwoord is een korte samenvatting. Hoewel aan de totstandkoming hiervan de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s), PO-Raad, VO-raad en Kennisnet geen aansprakelijkheid voor eventuele fouten, onvolkomenheden of schade als gevolg van het gebruik van dit antwoord. Raadpleeg altijd de Aanpak IBP en neem eventueel contact op met de Helpdesk IBP. Bij twijfel of juridische geschillen wordt geadviseerd om een deskundige in te huren zoals een advocaat, ict-consultant of een in privacy gespecialiseerd jurist.