Zodra u externe partijen inschakelt die persoonsgegevens voor u verwerken, bent u verplicht een verwerkersovereenkomst af te sluiten. Geen overeenkomst betekent een overtreding van de AVG. Toch zien we regelmatig dat ondernemers deze stap overslaan of een te algemene standaardtekst gebruiken. Het gevolg? Onduidelijkheid over verantwoordelijkheden en mogelijk een boete tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Een goed opgestelde verwerkersovereenkomst beschermt u tegen AVG boetes en maakt helder wie waarvoor verantwoordelijk is. U hoeft hiervoor geen juridisch expert te zijn. Met de juiste aanpak stelt u in enkele stappen een overeenkomst op die aan alle wettelijke eisen voldoet.
Deze handleiding legt uit wat een verwerkersovereenkomst is en wanneer u deze nodig heeft. Daarna leidt u door drie concrete stappen om zelf een AVG proof overeenkomst op te stellen. U leest welke bepalingen verplicht zijn, hoe u rollen en verwerkingen in kaart brengt, en waar u extra op moet letten. Tot slot behandelen we veelgemaakte fouten zodat u deze kunt vermijden.
Wat is een verwerkersovereenkomst en wanneer nodig
Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen jou (verwerkingsverantwoordelijke) en een externe partij (verwerker) die persoonsgegevens voor jou verwerkt. In deze overeenkomst leg je vast hoe de verwerker met de persoonsgegevens omgaat, welke beveiligingsmaatregelen hij treft en wat zijn verplichtingen zijn. De AVG verplicht beide partijen om deze afspraken schriftelijk vast te leggen.
Een verwerkersovereenkomst is verplicht zodra een externe partij in jouw opdracht persoonsgegevens verwerkt.
Wanneer ben je verplicht een verwerkersovereenkomst af te sluiten?
Je sluit een verwerkersovereenkomst af zodra een externe partij persoonsgegevens voor jou verwerkt en jij bepaalt waarvoor en hoe die verwerking plaatsvindt. Denk aan situaties waarin je:
- Een salarisadministratiekantoor inschakelt voor personeelsgegevens
- Een cloudprovider gebruikt om klantgegevens op te slaan
- Een marketingbureau toegang geeft tot je CRM-systeem
- Een callcenter klantcontacten laat afhandelen
- Een IT-beheerder systeemtoegang verleent tot databases
Gebruik je alleen een dienst waarbij de aanbieder zelf bepaalt waarvoor en hoe gegevens worden verwerkt? Dan is meestal geen verwerkersovereenkomst nodig maar ben je beide verwerkingsverantwoordelijk. Bij het verwerkersovereenkomst opstellen moet je daarom eerst de rollen helder krijgen.
Stap 1. Breng rollen, verwerkingen en gegevens in kaart
Voordat je begint met het verwerkersovereenkomst opstellen, moet je drie cruciale elementen helder krijgen: wie is verantwoordelijk voor wat, welke verwerkingsactiviteiten vinden plaats en om welke gegevens gaat het precies. Deze inventarisatie vormt de basis van je overeenkomst en voorkomt misverstanden later. Start met het vaststellen van de rollen, want dat bepaalt welke verplichtingen in de overeenkomst horen.
Bepaal wie verwerkingsverantwoordelijke en wie verwerker is
Jij bent verwerkingsverantwoordelijke wanneer je bepaalt waarvoor en hoe persoonsgegevens worden gebruikt. De externe partij is verwerker wanneer deze alleen in jouw opdracht en volgens jouw instructies gegevens verwerkt. Let op: staat in een bestaande overeenkomst dat beide partijen verwerkingsverantwoordelijk zijn? Dan klopt vaak de feitelijke situatie niet met wat er op papier staat.
De AVG kijkt naar de feitelijke situatie, niet naar wat er in een contract staat.
Inventariseer welke gegevens en verwerkingen plaatsvinden
Maak een concrete lijst van alle persoonsgegevens die de verwerker ontvangt. Beschrijf ook exact welke activiteiten de verwerker uitvoert: opslaan, analyseren, beveiligen, versturen of vernietigen. Bijvoorbeeld:
- Gegevenssoorten: naam, e-mailadres, geboortedatum, IP-adressen, bankrekeningnummers
- Verwerkingsactiviteiten: opslag in cloud, verzending van e-mails, verwerken van betalingen, aanmaken van backups
- Betrokken groepen: klanten, werknemers, leveranciers, bezoekers
Deze inventarisatie neem je later letterlijk over in de overeenkomst.
Stap 2. Neem alle verplichte AVG-bepalingen op
Artikel 28 van de AVG schrijft negen verplichte onderwerpen voor die je moet opnemen wanneer je een verwerkersovereenkomst opstellen gaat. Zonder deze bepalingen is je overeenkomst niet AVG-proof en riskeer je een boete. Elk onderwerp moet concreet en controleerbaar zijn, geen vage algemeenheden. Hieronder vind je per onderwerp wat je precies moet regelen.
De verplichte clausules voor je overeenkomst
Je neemt de volgende negen elementen altijd op in je verwerkersovereenkomst:
| Onderwerp | Wat moet je vastleggen |
|---|---|
| Onderwerp en duur | Wat wordt verwerkt en hoe lang duurt de samenwerking |
| Aard en doel | Waarvoor worden de gegevens gebruikt |
| Soort gegevens | Welke persoonsgegevens precies (namen, adressen, etc.) |
| Categorieën betrokkenen | Over wie gaan de gegevens (klanten, werknemers) |
| Instructies | De verwerker mag alleen volgens jouw schriftelijke opdrachten handelen |
| Geheimhouding | Alle medewerkers van de verwerker hebben een geheimhoudingsplicht |
| Beveiligingsmaatregelen | Concrete technische en organisatorische maatregelen (encryptie, toegangscontrole) |
| Subverwerkers | Voorafgaande schriftelijke toestemming verplicht voor inschakelen derden |
| Rechten betrokkenen | Hoe helpt de verwerker bij inzage-, correctie- en wissingsverzoeken |
De verwerker mag persoonsgegevens nooit voor eigen doeleinden gebruiken, alleen volgens jouw instructies.
Aanvullende AVG-verplichtingen die je regelt
Naast de negen hoofdelementen leg je ook vast hoe de verwerker je ondersteunt bij andere AVG-plichten. Beschrijf concreet hoe de verwerker helpt bij het melden van datalekken (binnen welke termijn meldt hij dit aan jou), bij het uitvoeren van een DPIA wanneer nodig, en bij een voorafgaande raadpleging met de Autoriteit Persoonsgegevens. Regel daarnaast wat er gebeurt na afloop van de samenwerking: verwijdert of retourneert de verwerker alle gegevens? Tot slot neem je een auditrecht op zodat jij of een derde partij kunt controleren of de verwerker zich aan de afspraken houdt.
Stap 3. Leg extra afspraken vast over risico’s en toezicht
De verplichte AVG-bepalingen vormen de minimale basis van je overeenkomst. Voor een echt waterdichte verwerkersovereenkomst leg je extra afspraken vast over specifieke risico’s en hoe je toezicht houdt op de verwerker. Deze aanvullende clausules beschermen je tegen problemen die de wetgever niet expliciet noemt maar in de praktijk regelmatig voorkomen.
Regel concrete scenario’s bij incidenten
Bepaal wat er gebeurt bij een cyberaanval, faillissement of overname van de verwerker. Leg vast binnen welke termijn de verwerker je informeert (bijvoorbeeld binnen 24 uur bij een beveiligingsincident), wie aansprakelijk is voor schade en of je gegevens direct mag terughalen. Neem ook op wat er gebeurt wanneer de verwerker stopt met zijn diensten of jij de overeenkomst vroegtijdig beëindigt. Deze afspraken voorkom je later juridische procedures over onduidelijke verantwoordelijkheden.
Maak toezicht en audits werkbaar
Beschrijf precies hoe je controleert of de verwerker zich aan de afspraken houdt. Leg vast hoe vaak je audits uitvoert (jaarlijks of na een incident), of de verwerker certificeringen moet hebben (ISO 27001, NEN 7510) en welke documenten je mag inzien (logbestanden, beveiligingsrapporten, bevindingen van penetratietests). Regel ook of je onverwachte controles mag uitvoeren en wie de auditkosten betaalt.
Concrete afspraken over audits en incidenten voorkomen discussies op het moment dat het misgaat.
Praktische aandachtspunten en valkuilen
Zelfs met alle verplichte clausules kan een verwerkersovereenkomst opstellen nog misgaan door praktische fouten in de uitvoering. Deze valkuilen zie je vaak bij ondernemers die een standaardsjabloon gebruiken zonder het aan te passen aan hun situatie. Het resultaat is een overeenkomst die juridisch onvolledig is of niet aansluit bij wat er feitelijk gebeurt.
Veelgemaakte fouten die je AVG-proof overeenkomst ondermijnen
Vermijd deze vier kritieke fouten die je verwerkersovereenkomst waardeloos maken:
- Te algemene omschrijvingen: "passende beveiligingsmaatregelen" zonder concrete invulling (noem specifiek: encryptie AES-256, tweefactorauthenticatie, dagelijkse backups)
- Verkeerde rolverdeling: partijen noemen elkaar verwerkingsverantwoordelijk terwijl één partij alleen instructies uitvoert
- Ontbrekende subverwerkers: de verwerker mag zonder jouw toestemming derden inschakelen
- Geen update bij wijzigingen: je neemt meer diensten af maar de overeenkomst blijft ongewijzigd
Concrete, controleerbare afspraken in je overeenkomst voorkomen discussies wanneer het misgaat.
Controleer deze punten voor je tekent
Lees de overeenkomst kritisch door voordat je tekent. Controleer of alle gegevenscategorieën die je deelt ook daadwerkelijk zijn opgenomen. Vraag de verwerker naar bestaande certificeringen (ISO 27001, SOC 2) en laat deze in de overeenkomst opnemen. Test ook of de verwerker binnen de afgesproken termijn reageert op een testverzoek voor inzage of een gesimuleerd datalek.
Tot slot
Je hebt nu een compleet stappenplan om zelf een AVG-proof verwerkersovereenkomst op te stellen. Begin met het in kaart brengen van rollen en gegevens, neem vervolgens alle verplichte AVG-bepalingen op en voeg tot slot extra afspraken toe over risico’s en toezicht. Vermijd algemene teksten en zorg dat elke clausule concreet en controleerbaar is.
Twijfel je over de juiste aanpak of wil je zekerheid dat je overeenkomst juridisch waterdicht is? Neem contact op met Law & More voor deskundig advies bij het verwerkersovereenkomst opstellen. Onze specialisten controleren je overeenkomst of stellen deze volledig voor je op, zodat je beschermd bent tegen boetes en onduidelijkheden.
