Er moet met iedere verwerker van persoonsgegevens (dat is iemand / een organisatie die in opdracht van de verantwoordelijke gegevens verwerkt) een zogenaamde verwerkersovereenkomst worden gesloten. Hierin moeten de afspraken staan met betrekking tot de bescherming van persoonsgegevens, de beveiligingsmaatregelen en de naleving van de meldplicht datalekken.
In de overeenkomst moeten onder meer de volgende punten zijn opgenomen:
- Doeleinden van de gegevensverwerking;
- Soort persoonsgegevens dat verwerkt wordt;
- Categorieën van betrokkenen op wie de gegevens zien;
- Passend beveiligen van de gegevens;
- Uitvoeren van audits;
- Vernietigen van de gegevens.