De verwerker wordt door de verwerkingsverantwoordelijke ingeschakeld om namens haar persoonsgegevens te verwerken. Dit is de primaire taak van de verwerker. Indien dit niet de primaire taak van de verwerker is, zal zij worden aangemerkt als verwerkingsverantwoordelijke. Een leasebedrijf dat door een organisatie wordt ingeschakeld, waarbij het leasebedrijf bepaalde persoonsgegevens van de werknemers verwerkt, wordt aangemerkt als verwerkingsverantwoordelijke. Het leasebedrijf wordt immers niet ingeschakeld om persoonsgegevens te verwerken, maar om auto's te leasen.
Bepalend voor de afbakening van het begrip verwerker is de relatie met de verwerkingsverantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegeven gepaard gaat.1 De verwerker is allereerst een buiten de organisatie van de verwerkingsverantwoordelijke staande persoon of instelling. Daar waar een hiërarchische relatie bestaat met de verwerkingsverantwoordelijke moet worden gesproken van (intern) beheer. Er mag geen sprake zijn van rechtstreeks gezag.
De verwerker beperkt zich tot het verwerken van persoonsgegevens, zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van gegevens enz.2 Voor de afgrenzing van de verwerker ten opzichte van de verwerkingsverantwoordelijke, is de inhoud van de verwerkersovereenkomst die de verwerker sluit met de verwerkingsverantwoordelijke van belang.3 Er kan voorts sprake zijn van een subverwerker wanneer de verwerkingsverantwoordelijke in zijn verwerkersovereenkomst met de verwerker uitdrukkelijk ruimte heeft gegeven om de verwerker delen van de verwerking uit te besteden aan deze subverwerker.4
Praktisch kan een verwerker wel degelijk de details van de verwerkingswijze bepalen. Dit impliceert echter niet dat hij daarmee ook zeggenschap verkrijgt over de verwerking van de gegevens als zodanig.5 De grondslag van deze verwerkingswijze zal vaak te vinden zijn in de deskundigheid die de verwerker in huis heeft, de (keuze van de) apparatuur en de software die hij gebruikt of de mankracht waarover hij beschikt. Een zorginstelling die gebruik maakt van een elektronisch patiëntendossier, zal immers niet de noodzakelijke deskundigheid in huis hebben om te kunnen bepalen welke database en ontwerppatronen gebruikt moeten worden in de software.
Naast de inhoud van de verwerkersovereenkomst tussen verwerkingsverantwoordelijke en verwerker is echter ook van belang hoe zich het een en ander vervolgens in de praktijk ontwikkelt. Als een extern bureau werkzaamheden verricht voor de verwerkingsverantwoordelijke en zich daarbij volledig aan de instructies van de verwerkingsverantwoordelijke onderwerpt en uitsluitend onder diens verantwoordelijkheid gegevens opslaat, wordt het extern bureau aangemerkt als verwerker. Een pensioenadviesbureau kan echter niet meer als verwerker worden beschouwd indien zij de gegevens tevens gebruikt voor een informatiesysteem dat zich onttrekt aan de onderliggende contractuele relatie. In dat geval verkrijgt het bureau immers de gegevens (mede) ten behoeve van zichzelf en wordt het (mede) verwerkingsverantwoordelijke.