Organisaties die persoonsgegevens beheren, besteden de verwerking daarvan vaak uit. Maar om ‘ongelukjes’ te voorkomen, is het verplicht een bewerkersovereenkomst met zo’n derde partij te sluiten. Daarin wordt vastgelegd wat deze wel en niet mag doen met de persoonsgegevens.
Organisaties die het beheer en de bewerking van hun persoonsgegevens uitbesteden aan een derde partij, blijven toch te allen tijde zelf verantwoordelijk. Dus ontstaat er bijvoorbeeld een datalek (e-learning) bij de bewerker, dan wordt toch de organisatie die de persoonsgegevens heeft uitbesteed daarop aangesproken. Het is dus zaak om te zorgen voor een goede bewerkersovereenkomst (tool). Daardoor kan gezorgd worden dat de bewerker niet zelf beslissingen neemt over de informatie die hij in beheer heeft gekregen. In een bewerkersovereenkomst moeten de volgende onderwerpen worden opgenomen.
De bewerkersovereenkomst moet apart afgesloten worden. Hij staat dus los van de normale dienstverlenersovereenkomst. Organisaties kunnen bijvoorbeeld de personeelsadministratie uitbesteden en hiervoor een contract afsluiten. De bewerkersovereenkomst wordt dan apart afgesloten om de uitbestede persoonsgegevens te beschermen.