Sinds de AVG van kracht is, hoor je het woord 'verwerkersovereenkomst' regelmatig vallen. Maar wat is het precies, wanneer is het verplicht en wat moet er in staan? In de praktijk merk ik dat veel ondernemers óf geen verwerkersovereenkomst hebben, óf eentje die ze blindelings van internet hebben gekopieerd zonder te begrijpen wat erin staat. Beide situaties zijn riskant.
Verwerkingsverantwoordelijke vs. verwerker
De AVG kent twee rollen:
- Verwerkingsverantwoordelijke — de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt (jij als bedrijf)
- Verwerker — de partij die in opdracht van de verwerkingsverantwoordelijke gegevens verwerkt (je boekhouder, hostingprovider, e-mailmarketingtool)
Zodra je een verwerker inschakelt, ben je verplicht een verwerkersovereenkomst te sluiten. Geen uitzondering, geen drempel — het is altijd verplicht.
Wanneer heb je een verwerkersovereenkomst nodig?
Vaker dan je denkt. Enkele voorbeelden:
| Situatie | Verwerker | Verwerkersovereenkomst? |
|---|---|---|
| Website gehost bij hostingpartij | Hostingprovider | Ja |
| Nieuwsbrieven via Mailchimp | Mailchimp | Ja (DPA in hun voorwaarden) |
| Boekhouding uitbesteed | Boekhouder | Ja |
| Salarisadministratie extern | Salariskantoor | Ja |
| Google Analytics op je website | Ja (DPA bij Google) | |
| CRM-systeem (Salesforce, HubSpot) | CRM-provider | Ja |
Wat moet er verplicht in staan?
Artikel 28 van de AVG schrijft een aantal verplichte onderdelen voor:
1. Onderwerp en duur van de verwerking
Beschrijf concreet welke gegevens worden verwerkt, van wie (werknemers, klanten, websitebezoekers) en hoe lang.
2. Aard en doel van de verwerking
Waarom worden de gegevens verwerkt? Alleen voor het doel dat je als verwerkingsverantwoordelijke bepaalt — de verwerker mag de gegevens niet voor eigen doeleinden gebruiken.
3. Soort persoonsgegevens
Specificeer welke categorieën: namen, e-mailadressen, IP-adressen, financiële gegevens, gezondheidsgegevens (bijzondere categorie!).
4. Rechten en plichten
- De verwerker handelt alleen op instructie van de verwerkingsverantwoordelijke
- Medewerkers van de verwerker zijn gebonden aan geheimhouding
- De verwerker treft passende technische en organisatorische beveiligingsmaatregelen
- Subverwerkers alleen met toestemming (algemeen of specifiek)
- Bijstand bij verzoeken van betrokkenen (inzage, verwijdering, etc.)
- Meldplicht bij datalekken — onverwijld, en uiterlijk binnen 48 uur
- Na afloop: gegevens wissen of retourneren
- Auditmogelijkheid voor de verwerkingsverantwoordelijke
Subverwerkers
Maakt je verwerker op zijn beurt gebruik van andere partijen (subverwerkers)? Dan moet dat in de verwerkersovereenkomst geregeld zijn. Je kunt kiezen voor:
- Specifieke toestemming — je keurt elke subverwerker individueel goed
- Algemene toestemming — de verwerker mag subverwerkers inschakelen, mits hij je informeert en je bezwaar kunt maken
De verwerker moet dezelfde verplichtingen opleggen aan zijn subverwerkers als die in jullie verwerkersovereenkomst staan.
Datalekken melden
De verwerkersovereenkomst moet een duidelijke procedure bevatten voor het melden van datalekken. De verwerker moet jou als verwerkingsverantwoordelijke onverwijld informeren. Jij bent vervolgens verantwoordelijk voor de melding bij de Autoriteit Persoonsgegevens (binnen 72 uur) en eventueel bij de betrokkenen.
Spreek af welke informatie de verwerker bij een melding moet verstrekken: aard van het lek, getroffen gegevens, aantal betrokkenen, genomen maatregelen en contactpersoon.
Veelgemaakte fouten
- Geen verwerkersovereenkomst sluiten — boete kan oplopen tot €10 miljoen of 2% van de jaaromzet
- Standaard template blind overnemen — zonder aan te passen aan de specifieke verwerking
- Subverwerkers niet regelen — als je verwerker AWS of Google Cloud gebruikt, is dat een subverwerker
- Verouderde overeenkomst — nooit geüpdatet na wijzigingen in de verwerking
- Verwarren met NDA — een NDA beschermt bedrijfsinformatie, een verwerkersovereenkomst beschermt persoonsgegevens. Je hebt vaak beide nodig
Verwerkersovereenkomst bij grote techbedrijven
Google, Microsoft, Amazon en andere grote techbedrijven bieden standaard Data Processing Agreements (DPA's) aan als onderdeel van hun voorwaarden. Je hoeft niet apart te onderhandelen — maar je moet wel weten dat die DPA van toepassing is en die actief accepteren.
Let op de locatie van dataverwerking. Bij Amerikaanse providers kan data buiten de EER worden verwerkt. Dat is alleen toegestaan als er adequate waarborgen zijn — standaardcontractbepalingen (SCC's) of een adequaatheidsbesluit.
FAQ
Is mijn boekhouder een verwerker?
Ja, als je boekhouder jouw klant- en personeelsgegevens verwerkt in het kader van de boekhouding. Sluit een verwerkersovereenkomst — de meeste boekhoudkantoren hebben er een klaarliggen.
Moet ik een verwerkersovereenkomst registreren?
Nee, maar je moet de overeenkomst kunnen overleggen als de Autoriteit Persoonsgegevens erom vraagt. Bewaar het document zorgvuldig en neem het op in je register van verwerkingsactiviteiten.
Kan ik een verwerkersovereenkomst digitaal ondertekenen?
Ja, de AVG stelt geen eisen aan de vorm van ondertekening. Een digitale handtekening volstaat. Bij grote techbedrijven accepteer je de DPA vaak door een checkbox in hun platform.