De Autoriteit Persoonsgegevens beantwoordt de vraag: Moet ik als gemeente een bewerkersovereenkomst afsluiten met gecontracteerde zorgaanbieders? met het antwoord: Nee, tenzij deze zorgaanbieder een bewerker is in de zin van de Wet bescherming persoonsgegevens. In de praktijk is dat bijna nooit het geval. (Zie ook het artikel op de website van de Autoriteit Persoonsgegevens)
De Informatie Beveilingsings Dienst (IBD) stelt in de Factsheet verwerkersovereenkomsten:
In de relatie gemeente (als opdrachtgever/financier )- hulpaanbieder is de hulpaanbieder bij hulp dus geen verwerker voor de gemeente. Daarop is er één uitzondering en dat is alleen als de gemeente zelf expliciet als hulpaanbieder optreedt (wat mogelijk is) en vervolgens die gemeentelijke hulp uitbesteedt (wat merkwaardig is want waarom zou de gemeente bij toch uitbesteden van de hulp er dan als gemeente eerst voor kiezen om zelf aanbieder te zijn?). Dan is de gemeente de verwerkingsverantwoordelijke. Maar dit is toch meer de uitzondering. Een andere situatie is er als de gemeente de toeleidingstaken van de gemeente (....) uitbesteedt aan aanbieders. Dit is mogelijk en gebeurt ook vaak. Dan treden de aanbieders niet als aanbieders van hulp op, maar als organisaties die namens de gemeente de toeleiding doen. Dan is de gemeente de verwerkingsverantwoordelijke en zijn de aanbieders (lees toeleidende organisaties) verwerker.
De beide, door de IBD geschetste situaties zijn binnen de gemeenten niet aan de orde en dus zijn geen bewerkersovereenkomsten tussen gemeente en zorgaanbieders vereist. Deze relaties behoeven dus ook niet geïnventariseerd te worden t.b.v. de op te stellen bewerkersovereenkomsten.