Privacyproof samenwerken: jouw gids voor de verwerkersovereenkomst onder de AVG

Wanneer je als organisatie anderen inschakelt om data te verwerken, heb je een verwerkersovereenkomst nodig.

Werk je met persoonsgegevens en besteed je delen van je dienstverlening uit? Dan krijg je vroeg of laat te maken met de verwerkersovereenkomst onder de AVG. En nee, dat is niet “gewoon een formaliteit” die je snel even aanvult met wat modelbepalingen.
Een verwerkersovereenkomst is juridisch verplicht en vaak ook je reddingsboei bij datalekken, audits of klachten bij de Autoriteit Persoonsgegevens.

In deze gids leggen we je uit:

  • wanneer je een verwerkersovereenkomst moet sluiten;
  • wat er verplicht in moet staan (en wat slim is om toe te voegen);
  • hoe je omgaat met subverwerkers, SaaS-partners en zzp’ers;
  • en hoe je de rolverdeling tussen verwerker en verwerkingsverantwoordelijke bepaalt.
 

Op deze pagina

De verwerkersovereenkomst onder de AVG

 

Werk je met persoonsgegevens en besteed je delen van je dienstverlening uit? Dan krijg je vroeg of laat te maken met de verwerkersovereenkomst onder de AVG. En nee, dat is niet “gewoon een formaliteit” die je snel even aanvult met wat modelbepalingen.
Een verwerkersovereenkomst is juridisch verplicht en vaak ook je reddingsboei bij datalekken, audits of klachten bij de Autoriteit Persoonsgegevens.

In deze gids leggen we je uit:

  • wanneer je een verwerkersovereenkomst moet sluiten;
  • wat er verplicht in moet staan (en wat slim is om toe te voegen);
  • hoe je omgaat met subverwerkers, SaaS-partners en zzp’ers;
  • en hoe je de rolverdeling tussen verwerker en verwerkingsverantwoordelijke bepaalt.

Wat is een verwerkersovereenkomst? 

 

Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker, waarin staat hoe er wordt omgegaan met persoonsgegevens. Dit document is verplicht onder de AVG (Algemene Verordening Gegevensbescherming) zodra een derde partij namens jou persoonsgegevens verwerkt.

Voorbeelden van situaties waarin een verwerkersovereenkomst nodig is:

  • je laat een boekhouder de loonadministratie doen;
  • je host klantdata via een extern SaaS-platform;
  • je schakelt een marketingbureau in dat toegang krijgt tot klantgegevens

Wanneer ben je verplicht een verwerkersovereenkomst te sluiten? 

 

Zodra een andere partij in opdracht van jouw organisatie persoonsgegevens verwerkt, ben je verplicht een verwerkersovereenkomst te sluiten. De verwerking moet plaatsvinden op basis van jouw instructies, niet op initiatief van die andere partij.

Geen overeenkomst? Dan ben je in overtreding van de AVG. De Autoriteit Persoonsgegevens kan bij controle of datalek hoge boetes opleggen, ook als je “het goed bedoelde”.

Verwerker of verwerkingsverantwoordelijke: hoe weet je wat je bent? 

 

Veel organisaties denken dit makkelijk in te schatten. Maar in de praktijk is het onderscheid tussen een verwerker en een verwerkingsverantwoordelijke vaak allesbehalve duidelijk.

  • Verwerkingsverantwoordelijke: bepaalt het doel én de middelen van de verwerking.
  • Verwerker: voert uit op basis van de instructies van de verantwoordelijke.

Duidelijkheid over jouw rol is cruciaal, omdat het direct bepaalt wie er verantwoordelijk is voor belangrijke privacyverplichtingen. Denk aan wie een DPIA moet uitvoeren, wie aansprakelijk is bij een datalek en wie het aanspreekpunt is als een betrokkene gebruikmaakt van zijn privacyrechten.

Lees ook onze pagina: wanneer ben je verwerker of verwerkingsverantwoordelijke?

Wat moet er in een verwerkersovereenkomst staan?

Volgens artikel 28 van de AVG is een verwerkersovereenkomst verplicht zodra je een externe partij inschakelt die persoonsgegevens verwerkt in jouw opdracht. Deze overeenkomst moet niet alleen juridisch correct zijn, maar ook concreet en op maat geschreven voor de samenwerking die je aangaat.

Een paar modelbepalingen uit een template zijn zelden voldoende. De verwerkersovereenkomst moet voldoen aan een reeks minimale eisen, én slim zijn afgestemd op de risico’s van jouw specifieke verwerkingen.

Hieronder een overzicht van de onderdelen die verplicht zijn in een verwerkersovereenkomst, met toelichting.

1. Doel en duur van de verwerking

Beschrijf duidelijk:

  • waarom de persoonsgegevens worden verwerkt (het doel);
  • hoe lang die verwerking plaatsvindt (duur van de opdracht of verwerkingstermijn).

Bijvoorbeeld: “Het doel van de verwerking is het bijhouden van personeelsgegevens ten behoeve van salarisadministratie. De verwerking duurt zolang de verwerkersrelatie voortduurt, met een bewaartermijn van X maanden na afloop.”

2. Categorieën van persoonsgegevens en betrokkenen

Geef aan:

  • welke soorten persoonsgegevens worden verwerkt (bijv. namen, e-mailadressen, BSN-nummers);
  • op welke groepen personen de gegevens betrekking hebben (bijv. klanten, medewerkers, leerlingen).

Dit helpt bij het inschatten van het risico en het toepassen van de juiste beveiligingsmaatregelen.

3. Instructies van de verantwoordelijke

De verwerker mag persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de verantwoordelijke. Hier leg je vast welke instructies er zijn en hoe wijzigingen in de instructies worden doorgegeven en geaccordeerd.

Zonder expliciete instructies loop je als verantwoordelijke risico op verlies van controle en dus op AVG-aansprakelijkheid. 

4. Geheimhoudingsverplichting

Zorg ervoor dat is vastgelegd dat de verwerker én diens personeel:

  • verplicht zijn tot geheimhouding van de gegevens;
  • zich bewust zijn van hun verplichtingen onder de AVG;
  • eventueel een aparte geheimhoudingsverklaring tekenen.

5. Beveiligingsmaatregelen

Leg vast welke technische en organisatorische maatregelen de verwerker treft om persoonsgegevens te beschermen. Denk aan:

  • versleuteling en pseudonimisering;
  • veilige opslag en versleutelde communicatie;
  • toegangscontrole en logging;
  • regelmatige beveiligingstests of audits.
Je kunt dit uitwerken in een bijlage of een verwijzing opnemen naar het securitybeleid van de verwerker.
 

6. Gebruik van subverwerkers

Als de verwerker zelf externe partijen wil inschakelen (zoals een hostingprovider), moet:

  • vooraf toestemming worden gevraagd aan de verantwoordelijke;
  • vastliggen dat subverwerkers aan dezelfde eisen moeten voldoen;
  • bezwaarprocedures worden afgesproken (bijv. X dagen om te reageren op nieuwe subverwerkers).

7. Audits en controle

De verantwoordelijke moet kunnen controleren of de verwerker zich aan de afspraken houdt. Leg dus vast (i) of en hoe vaak audits mogelijk zijn, (ii) wie de audit uitvoert (interne audit, derde partij) en (iii) of de verwerker verplicht is om documentatie te verstrekken of toegang te geven tot systemen.

8. Melding van datalekken

Verwerkers zijn verplicht om zonder onredelijke vertraging melding te doen van een datalek aan de verwerkingsverantwoordelijke. In de overeenkomst leg je vast:

  • hoe snel dit moet gebeuren (bijv. binnen 24 uur);
  • op welke manier (telefonisch én schriftelijk);
  • welke informatie de melding minimaal moet bevatten.

9. Verwijderen of teruggeven van gegevens bij einde opdracht

Na afloop van de opdracht moet de verwerker (i) de persoonsgegevens wissen of (ii) teruggeven aan de verantwoordelijke, afhankelijk van de instructie. Leg vast welke keuze van toepassing is én of de verwerker een verklaring van verwijdering moet afgeven.

Aanbevolen aanvullende bepalingen:

Hoewel bovenstaande bepalingen wettelijk verplicht zijn, is het in de praktijk slim om ook afspraken te maken over:

  • Aansprakelijkheid en schadevergoeding
    Wie is er aansprakelijk bij een datalek of overtreding van de AVG en tot welk bedrag?
  • Kostenverdeling bij incidenten of audits
    Wie betaalt de kosten als er een DPIA nodig is, of bij controle door de Autoriteit Persoonsgegevens?
  • Beleid bij verzoeken van betrokkenen
    Bijvoorbeeld: hoe snel moet de verwerker meewerken aan een verzoek tot inzage of verwijdering?
  • Back-ups en disaster recovery
    Wat gebeurt er bij systeemuitval of verlies van data?

Subverwerkers: wat zijn het en wat moet je regelen? 

 

Een subverwerker is een partij die de oorspronkelijke verwerker inschakelt om (een deel van) de verwerking uit te voeren. Denk aan een hostingprovider of cloudpartij die jouw SaaS-verwerker inschakelt.

Wat moet je regelen over subverwerkers?

  • De verwerker moet vooraf toestemming vragen om subverwerkers in te schakelen.
  • Subverwerkers moeten aan dezelfde AVG-eisen voldoen.
  • Het is slim om concrete bezwaarprocedures af te spreken: wat als je het niet eens bent met een nieuwe subverwerker?

Vergeet niet: als subverwerkers buiten de EER worden ingezet (bijv. Amerikaanse cloudbedrijven), dan moet je ook kijken naar standaardcontractbepalingen of adequaatheidsbesluiten.

Verwerkersovereenkomst en zzp’ers: nodig of niet?

 

Schakel je een zzp’er in die toegang heeft tot persoonsgegevens? Dan is een verwerkersovereenkomst vaak verplicht – maar niet altijd. De uitzondering? Intern beheer.

Wanneer is een verwerkersovereenkomst wél nodig?

Als de zzp’er de gegevens verwerkt buiten jouw organisatie of systemen, op zelfstandige wijze en volgens jouw instructies. Denk aan een freelance VA die werkt in haar eigen omgeving, of een boekhouder met toegang tot klantdata.

Wanneer niet?

Werkt de zzp’er onder jouw direct toezicht, binnen jouw beveiligde systemen, en zonder eigen zeggenschap over de verwerking? Dan is er sprake van intern beheer en is een verwerkersovereenkomst niet vereist.

Toch blijft het verstandig om ook dan afspraken schriftelijk vast te leggen, bijvoorbeeld over geheimhouding, dataveiligheid en wat er met de gegevens gebeurt na afloop van de opdracht.

Meer weten? Lees verder in onze blog: Een zzp’er inschakelen: heb je een verwerkersovereenkomst nodig?

FAQ over de verwerkersovereenkomst

 

Ja, meestal wel. Verwerkt je boekhouder persoonsgegevens in jouw opdracht (zoals salarisgegevens of klantinformatie), dan is hij in de meeste gevallen een verwerker onder de AVG. Je bent dan verplicht een verwerkersovereenkomst te sluiten waarin staat hoe die gegevens worden beschermd en verwerkt

Als je gebruikmaakt van tools zoals Mailchimp, ActiveCampaign of Spotler, dan is er sprake van een derde partij die namens jou persoonsgegevens verwerkt. Denk aan namen, e-mailadressen en klikgedrag. Je moet in dat geval een verwerkersovereenkomst sluiten, ook als de dienst zich buiten de EU bevindt. Controleer dan ook of er een geldig doorgifte-mechanisme is (zoals standaardcontractbepalingen).

Ja, als je persoonsgegevens opslaat in de cloud via een externe dienstverlener (bijvoorbeeld Google Drive, Dropbox of AWS), dan moet je een verwerkersovereenkomst afsluiten. De cloudprovider fungeert als verwerker, omdat zij jouw gegevens opslaan of beheren. Let op: bij internationale cloudopslag moet je ook controleren of de doorgifte aan derde landen rechtmatig is volgens de AVG.

Ja, maar wees voorzichtig. Er zijn veel voorbeeld-verwerkersovereenkomsten online, maar deze zijn vaak te algemeen, missen verplichte onderdelen of sluiten niet aan bij jouw specifieke situatie. Een verkeerd opgestelde overeenkomst biedt schijnzekerheid. Laat een jurist er altijd even naar kijken als je twijfelt. Je blijft als verantwoordelijke uiteindelijk aansprakelijk.

 

Ja, meestal wel. Als klanten jouw SaaS-platform gebruiken om persoonsgegevens te verwerken (denk aan CRM, HR-tools, boekhoudsoftware), dan ben jij verwerker in de zin van de AVG. Jij verwerkt namelijk gegevens in opdracht van je klant. Je bent dan verplicht een verwerkersovereenkomst aan te bieden waarin staat hoe jij de gegevens verwerkt, beveiligt en met subverwerkers omgaat.

Verwerkersovereenkomst laten opstellen of controleren?

 

Een goede verwerkersovereenkomst is geen standaarddocument. Het moet passen bij jouw rol (verwerker of verwerkingsverantwoordelijke), jouw sector (zoals SaaS of IT-dienstverlening), én bij de concrete risico’s van jouw gegevensverwerking. Alleen dan ben je AVG-compliant én juridisch gedekt als er iets misgaat.

Onze juristen zijn gespecialiseerd in het privacy- en ICT-recht. Wij helpen organisaties dagelijks bij het opstellen, beoordelen en actualiseren van verwerkersovereenkomsten. Of je nu werkt met freelancers, cloudopslag, klantdata of softwarekoppelingen – wij zorgen dat de afspraken kloppen en juridisch standhouden.

Wil je zeker weten dat jouw verwerkersovereenkomst voldoet aan de AVG? Of heb je een bestaande overeenkomst die je wilt laten checken?

Neem gerust contact met ons op voor juridisch advies of een voorstel op maat.

Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & Senior Legal Counsel

Neem contact met ons op
Scroll naar boven

Vraag hier je juridische offerte aan

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).