Een verwerkersovereenkomst is verplicht zodra een externe partij persoonsgegevens namens uw organisatie verwerkt. In dat document legt u vast welke gegevens worden verwerkt, voor welk doel, hoe de beveiliging is geregeld, wat er gebeurt bij een datalek en of een leverancier andere partijen mag inschakelen. Zonder deze afspraken voldoet u meestal niet aan artikel 28 van de AVG en loopt u onnodige juridische en operationele risico’s. Hieronder leest u kort en praktisch wanneer u zo’n overeenkomst nodig heeft, wat erin moet staan en hoe u dit direct goed regelt.
- U heeft dit document nodig als een leverancier persoonsgegevens alleen in uw opdracht verwerkt.
- De AVG stelt minimumeisen aan de inhoud, zoals beveiliging, datalekken, audits en subverwerkers.
- Niet elke leverancier is automatisch verwerker; de rolverdeling is doorslaggevend.
- Met een goede checklist en een bewerkbaar model kunt u snel controleren of uw afspraken compleet zijn.
- Onderaan dit artikel vindt u een praktische template en stappenplan om direct aan de slag te gaan.
Wilt u uw privacydocumentatie breder op orde brengen? Lees dan ook onze pagina over privacy en gegevensverwerking.
Wat is een verwerkersovereenkomst?
Definitie en alternatieve termen
Een verwerkersovereenkomst is een schriftelijke afspraak tussen een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke bepaalt waarom en op welke manier persoonsgegevens worden gebruikt. De verwerker verwerkt die gegevens alleen namens die organisatie en mag dat niet voor eigen doeleinden doen.
In de praktijk wordt ook vaak gesproken over een gegevensverwerkingsovereenkomst of de Engelse term Data Processing Agreement. Het gaat meestal om hetzelfde document: een set afspraken die verplicht is als een partij in opdracht persoonsgegevens verwerkt.
Waarom is dit document belangrijk?
Dit document is meer dan een formaliteit. Het maakt concreet wie waarvoor verantwoordelijk is. U legt vast welke gegevens worden verwerkt, hoe de beveiliging is geregeld, wanneer een incident moet worden gemeld en wat er gebeurt met data na afloop van de samenwerking.
Praktijkvoorbeeld: Een HR-softwareleverancier slaat personeelsgegevens op in de cloud. Zonder duidelijke afspraken kan onduidelijk zijn wie een datalek meldt, of back-ups worden verwijderd en welke subverwerkers toegang hebben. Een goede verwerkersovereenkomst voorkomt die onduidelijkheid.
Verwerkersovereenkomst en de AVG
Artikel 28 AVG in het kort
De wettelijke basis staat in artikel 28 AVG. Daarin staat dat een organisatie alleen met een verwerker mag samenwerken als die voldoende garanties biedt voor passende technische en organisatorische maatregelen. Die afspraken moeten schriftelijk worden vastgelegd.
De AVG schrijft ook voor welke onderwerpen minimaal in het document moeten staan. Denk aan het doel van de verwerking, de duur, de soorten persoonsgegevens, de categorieën betrokkenen, beveiliging, geheimhouding, hulp bij privacyverzoeken, datalekken, subverwerkers en het verwijderen of teruggeven van gegevens.
Gevolgen bij ontbreken of onjuiste afspraken
Als u wel met een verwerker werkt maar geen correcte afspraken heeft vastgelegd, handelt u in strijd met de AVG. Dat kan leiden tot waarschuwingen, handhaving of boetes. Daarnaast is het in de praktijk vooral riskant omdat er onduidelijkheid ontstaat bij incidenten, audits of vragen van betrokkenen.
Meer weten over incidenten? Lees ook onze pagina over het melden van een datalek.
Verantwoordelijke vs verwerker — wie doet wat?
De vraag of u een verwerkersovereenkomst nodig heeft, begint altijd met de juiste rolverdeling. Alleen als een partij echt verwerker is, zijn deze contractuele afspraken verplicht.
| Rol | Wat doet deze partij? | Voorbeeld |
|---|---|---|
| Verwerkingsverantwoordelijke | Bepaalt het doel en de middelen van de verwerking | Werkgever die personeelsgegevens laat verwerken |
| Verwerker | Verwerkt persoonsgegevens uitsluitend namens de verantwoordelijke | Salarisverwerker of cloudleverancier |
| Zelfstandig verantwoordelijke | Bepaalt zelf waarom gegevens nodig zijn | Accountant of arbodienst in bepaalde situaties |
Kort voorbeeld: Een webshop gebruikt een externe salarispartij. De webshop bepaalt waarom personeelsgegevens nodig zijn. De salarispartij verwerkt die gegevens alleen in opdracht. In dat geval is een verwerkersovereenkomst nodig.
Wanneer heeft u een verwerkersovereenkomst nodig?
U heeft deze overeenkomst nodig als een externe partij namens uw organisatie persoonsgegevens verwerkt. Denk aan klantgegevens, personeelsinformatie, accountdata, IP-adressen, factuurgegevens of andere herleidbare informatie.
Veelvoorkomende situaties zijn:
- een softwareleverancier die persoonsgegevens opslaat of beheert;
- een hostingpartij met toegang tot uw systemen;
- een salarisadministratiekantoor dat medewerkersgegevens verwerkt;
- een marketingplatform dat e-mails verstuurt in uw opdracht;
- een IT-dienstverlener met beheerrechten op uw omgeving.
Twijfelt u of een partij alleen namens u werkt of ook zelf doelen bepaalt? Dan is een beoordeling per leverancier nodig. Daarbij helpt vaak ook een actueel verwerkingsregister.
Verplichte onderdelen van een verwerkersovereenkomst
Een goede verwerkersovereenkomst AVG-proof maken betekent dat alle verplichte onderdelen concreet en controleerbaar zijn opgenomen. Hieronder staan de belangrijkste clausules die in vrijwel elk model moeten terugkomen.
Doeleinden en duur van de verwerking
Omschrijf duidelijk wat de verwerker doet en hoe lang. Vermijd vage termen zoals “algemene dienstverlening”.
Voorbeeldclausule: Verwerker verwerkt persoonsgegevens uitsluitend voor het hosten, ondersteunen en technisch beheren van de applicatie van verwerkingsverantwoordelijke gedurende de looptijd van de hoofdovereenkomst.
Soort persoonsgegevens en categorieën van betrokkenen
Beschrijf welke gegevens worden verwerkt en van wie. Zo is meteen duidelijk wat de scope van de opdracht is.
Voorbeeldclausule: De verwerking heeft betrekking op contactgegevens, accountgegevens, factuurgegevens en gebruiksgegevens van klanten, medewerkers en contactpersonen van verwerkingsverantwoordelijke.
Rechten en plichten van de verwerkingsverantwoordelijke
Leg vast dat de verwerker alleen handelt op basis van gedocumenteerde instructies. Daarmee blijft duidelijk dat de verantwoordelijke de regie houdt.
Voorbeeldclausule: Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke of elektronisch vastgelegde instructies van verwerkingsverantwoordelijke.
Beveiligingsmaatregelen
Beschrijf de technische en organisatorische maatregelen zo concreet mogelijk. Noem bijvoorbeeld toegangsbeheer, logging, encryptie, netwerkbeveiliging, back-ups, patchmanagement en periodieke evaluatie.
Voorbeeldclausule: Verwerker treft passende technische en organisatorische maatregelen, waaronder rolgebaseerde toegangsrechten, logging, versleutelde verbindingen, back-ups, periodieke updates en geheimhouding voor bevoegde medewerkers.
Let op: Formuleringen als “verwerker neemt passende maatregelen” zijn meestal te algemeen. Benoem liever wat die maatregelen in de praktijk zijn. Denk bij hogere risico’s aan ISO 27001, multifactor-authenticatie en versleuteling van opgeslagen data.
Meer weten over beveiliging? Bekijk ook onze pagina over persoonsgegevens beveiligen en websitebeveiliging.
Geheimhouding
Iedereen die onder het gezag van de verwerker toegang heeft tot persoonsgegevens, moet vertrouwelijkheid respecteren. Dat kan contractueel of op basis van een wettelijke geheimhoudingsplicht.
Voorbeeldclausule: Verwerker waarborgt dat personen die toegang hebben tot persoonsgegevens zijn gebonden aan een passende geheimhoudingsverplichting.
Subverwerkers en toestemming
Veel leveranciers schakelen andere partijen in, zoals hostingbedrijven, supportproviders of maildiensten. Leg daarom vast of dat mag, hoe toestemming werkt en hoe u over wijzigingen wordt geïnformeerd.
Voorbeeldclausule: Verwerker schakelt alleen subverwerkers in na voorafgaande algemene of specifieke schriftelijke toestemming van verwerkingsverantwoordelijke en legt aan deze partijen minimaal gelijkwaardige verplichtingen op.
Hulp bij privacyverzoeken
De verwerker moet helpen als betrokkenen hun rechten uitoefenen, zoals inzage, correctie, verwijdering of dataportabiliteit.
Voorbeeldclausule: Verwerker verleent verwerkingsverantwoordelijke redelijke bijstand bij verzoeken van betrokkenen voor zover dit nodig is om aan de AVG te voldoen.
Meldplicht datalekken
Neem op hoe snel een incident moet worden gemeld, aan wie, en welke informatie moet worden verstrekt. Dit voorkomt kostbare vertraging.
Voorbeeldclausule: Verwerker meldt een inbreuk in verband met persoonsgegevens onverwijld en uiterlijk binnen 24 uur nadat deze is ontdekt, met vermelding van aard, impact, getroffen categorieën gegevens en genomen maatregelen.
Audit- en controlerechten
U moet kunnen controleren of de leverancier zich aan de afspraken houdt. Dat kan via auditrechten, certificeringen, rapportages of vragenlijsten.
Voorbeeldclausule: Verwerkingsverantwoordelijke heeft het recht om eenmaal per jaar, of bij een redelijk vermoeden van niet-naleving, naleving van deze overeenkomst te controleren of te laten controleren.
Einde van de overeenkomst — verwijdering of teruggave
Na afloop van de dienstverlening moet duidelijk zijn wat met persoonsgegevens gebeurt. Meestal worden gegevens verwijderd of teruggegeven, tenzij een wettelijke bewaarplicht anders vereist.
Voorbeeldclausule: Na beëindiging van de dienstverlening verwijdert of retourneert verwerker alle persoonsgegevens binnen 30 dagen, tenzij opslag wettelijk verplicht is.
Aansprakelijkheid en vrijwaring
De AVG geeft een juridisch kader, maar in de praktijk moet ook contractueel worden nagedacht over aansprakelijkheid. Zorg dat dit aansluit bij het risico, de aard van de gegevens en de impact van incidenten. Onbeperkte aansprakelijkheid klinkt stevig, maar is niet altijd realistisch of wenselijk.
Praktische voorbeeldclausules
Onderstaande teksten kunt u als basis gebruiken in een voorbeeld verwerkersovereenkomst of bij het aanpassen van een bestaand model. Pas ze altijd aan op de feitelijke situatie.
Voorbeeld: subverwerkers
Verwerker mag slechts gebruikmaken van een subverwerker na voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke. De verwerker informeert verwerkingsverantwoordelijke tijdig over nieuwe of vervangende subverwerkers en biedt een redelijke mogelijkheid om bezwaar te maken. Verwerker blijft volledig verantwoordelijk voor de naleving door de subverwerker.
Voorbeeld: beveiligingsmaatregelen
Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen, waaronder toegangsbeheer op basis van rollen, versleutelde verbindingen, logging van toegang, periodiek patchbeheer, back-ups, hersteltests en geheimhouding voor medewerkers met toegang tot persoonsgegevens.
Voorbeeld: melding datalek
Verwerker meldt iedere inbreuk in verband met persoonsgegevens zonder onredelijke vertraging aan verwerkingsverantwoordelijke. De melding bevat, voor zover beschikbaar, een omschrijving van de aard van het incident, de vermoedelijke gevolgen, de getroffen gegevenscategorieën, het aantal betrokkenen en de reeds genomen of voorgenomen maatregelen.
Checklist — snel controleren of uw verwerkersovereenkomst klopt
Gebruik deze korte checklist om te beoordelen of uw document de belangrijkste AVG-eisen bevat:
- Is duidelijk omschreven wat het doel van de verwerking is?
- Staat de duur of looptijd van de verwerking in het document?
- Zijn de soorten persoonsgegevens benoemd?
- Zijn de categorieën betrokkenen genoemd?
- Is opgenomen dat de verwerker alleen op instructie handelt?
- Zijn de beveiligingsmaatregelen concreet beschreven?
- Is de geheimhoudingsplicht geregeld?
- Staan er afspraken in over het inzetten van subverwerkers?
- Is de procedure voor datalekken concreet uitgewerkt?
- Is vastgelegd wat er na afloop met de data gebeurt?
- Is audit of controle mogelijk?
- Past de aansprakelijkheidsregeling bij het risico?
Veelvoorkomende valkuilen en hoe u die voorkomt
Te algemene teksten
Veel overeenkomsten zijn te vaag. Als niet concreet is welke beveiliging geldt, blijft onduidelijk wat u echt van elkaar mag verwachten.
Geen regeling voor subverwerkers
Vooral bij SaaS-diensten ontbreekt dit vaak. Terwijl leveranciers regelmatig andere partijen gebruiken voor hosting, support of analytics.
Onwerkbare auditclausules
Een onbeperkt recht op audits klinkt aantrekkelijk, maar is niet altijd praktisch. Werk liever met redelijke termijnen, bestaande certificeringen en duidelijke procedures.
Geen duidelijke afspraken over het einde van de dienstverlening
Als niet vastligt of gegevens worden verwijderd of teruggegeven, ontstaan er vaak discussies zodra het contract eindigt.
Blind vertrouwen op een leveranciersdocument
Een standaardtekst van een leverancier is niet automatisch voldoende. Controleer of het document past bij uw situatie, uw type persoonsgegevens en uw risicoprofiel.
Sector-specifieke aandachtspunten
SaaS / cloud providers
Let extra op hostinglocaties, subverwerkers, supporttoegang, back-upbeleid en internationale doorgifte. Vraag of gegevens buiten de EER worden verwerkt en op basis van welke waarborgen dat gebeurt.
HR / payroll
Hier gaat het vaak om gevoelige informatie, zoals salarisgegevens, BSN, contractinformatie en verzuimdata. Daardoor moeten toegangsrechten, logging en beveiliging extra streng zijn.
Marketing en analytics
Bij marketingtools moet goed worden gekeken naar rolverdeling, doelbinding en bewaartermijnen. Niet iedere partij is hier automatisch verwerker. Sommige aanbieders gebruiken gegevens ook voor eigen analyses of productverbetering, waardoor de juridische verhouding anders kan liggen.
Werkt u met e-mailsoftware of marketingplatformen? Lees dan ook onze pagina over AVG en e-mailmarketing en compliance bij dataverwerking.
Wat te doen in 5 stappen
1. Breng alle verwerkers in kaart
Maak een overzicht van leveranciers die namens u persoonsgegevens verwerken.
2. Bepaal de rol per leverancier
Controleer of een partij verwerker is, gezamenlijk verantwoordelijke of zelfstandig verantwoordelijke.
3. Kies een passend model
Gebruik een verwerkersovereenkomst template die aansluit op de dienst, de gegevens en de risico’s.
4. Controleer de clausules inhoudelijk
Let vooral op beveiliging, subverwerkers, datalekken, audits, bewaartermijnen en verwijdering van data.
5. Laat bij twijfel juridisch controleren
Zeker bij internationale leveranciers, gevoelige gegevens of complexe IT-structuren is een extra juridische check verstandig.
Veelgestelde vragen over de verwerkersovereenkomst
Nee. Alleen als een externe partij persoonsgegevens namens uw organisatie verwerkt. Niet elke leverancier is dus automatisch verwerker.
Vaak wel, als die partij persoonsgegevens voor u opslaat of technisch beheert zonder eigen doel. De feitelijke rol moet wel altijd worden beoordeeld.
Ja, maar alleen als dat contractueel goed is geregeld en de verantwoordelijke daar toestemming voor geeft of daarover vooraf wordt geïnformeerd volgens de gemaakte afspraken.
Nee, de afspraken mogen ook onderdeel zijn van een hoofdovereenkomst, zolang alle verplichte onderdelen duidelijk en schriftelijk zijn opgenomen.
In de praktijk meestal wel. Het belangrijkste is niet de titel, maar of alle AVG-verplichtingen correct zijn opgenomen.
Controleer altijd of de inhoud past bij uw situatie. Een standaardmodel is vaak een goed begin, maar zelden zonder beoordeling geschikt.
Dat moet expliciet zijn geregeld. Meestal worden gegevens teruggegeven of verwijderd, tenzij een wettelijke bewaarplicht anders voorschrijft.
De AVG noemt controleerbaarheid als onderdeel van de afspraken. In de praktijk wordt dit meestal ingevuld met auditrechten, rapportages of certificeringen.
Conclusie
Een verwerkersovereenkomst is verplicht zodra een externe partij persoonsgegevens namens uw organisatie verwerkt. Met goede afspraken voldoet u beter aan de AVG, maakt u verantwoordelijkheden duidelijk en voorkomt u problemen bij datalekken, audits en het einde van de samenwerking.
Gebruik daarom niet zomaar een standaardtekst, maar controleer of alle verplichte clausules aanwezig zijn en aansluiten op uw praktijk. Met een goede checklist, bruikbaar model en gerichte juridische controle kunt u dit snel en goed regelen.
Disclaimer: dit voorbeeldmateriaal is informatief en geen bindend juridisch advies. Raadpleeg bij twijfel altijd een jurist of advocaat.
