Privacyproof samenwerken: jouw gids voor de verwerkersovereenkomst onder de AVG
Wanneer je als organisatie anderen inschakelt om data te verwerken, heb je een verwerkersovereenkomst nodig.
Wanneer je als organisatie anderen inschakelt om data te verwerken, heb je een verwerkersovereenkomst nodig.
In deze gids leggen we je uit:
Werk je met persoonsgegevens en besteed je delen van je dienstverlening uit? Dan krijg je vroeg of laat te maken met de verwerkersovereenkomst onder de AVG. En nee, dat is niet “gewoon een formaliteit” die je snel even aanvult met wat modelbepalingen.
Een verwerkersovereenkomst is juridisch verplicht en vaak ook je reddingsboei bij datalekken, audits of klachten bij de Autoriteit Persoonsgegevens.
In deze gids leggen we je uit:
Een verwerkersovereenkomst is een contract tussen een verwerkingsverantwoordelijke en een verwerker, waarin staat hoe er wordt omgegaan met persoonsgegevens. Dit document is verplicht onder de AVG (Algemene Verordening Gegevensbescherming) zodra een derde partij namens jou persoonsgegevens verwerkt.
Voorbeelden van situaties waarin een verwerkersovereenkomst nodig is:
Zodra een andere partij in opdracht van jouw organisatie persoonsgegevens verwerkt, ben je verplicht een verwerkersovereenkomst te sluiten. De verwerking moet plaatsvinden op basis van jouw instructies, niet op initiatief van die andere partij.
Geen overeenkomst? Dan ben je in overtreding van de AVG. De Autoriteit Persoonsgegevens kan bij controle of datalek hoge boetes opleggen, ook als je “het goed bedoelde”.
Veel organisaties denken dit makkelijk in te schatten. Maar in de praktijk is het onderscheid tussen een verwerker en een verwerkingsverantwoordelijke vaak allesbehalve duidelijk.
Duidelijkheid over jouw rol is cruciaal, omdat het direct bepaalt wie er verantwoordelijk is voor belangrijke privacyverplichtingen. Denk aan wie een DPIA moet uitvoeren, wie aansprakelijk is bij een datalek en wie het aanspreekpunt is als een betrokkene gebruikmaakt van zijn privacyrechten.
Lees ook onze pagina: wanneer ben je verwerker of verwerkingsverantwoordelijke?
Wat moet er in een verwerkersovereenkomst staan?
Volgens artikel 28 van de AVG is een verwerkersovereenkomst verplicht zodra je een externe partij inschakelt die persoonsgegevens verwerkt in jouw opdracht. Deze overeenkomst moet niet alleen juridisch correct zijn, maar ook concreet en op maat geschreven voor de samenwerking die je aangaat.
Een paar modelbepalingen uit een template zijn zelden voldoende. De verwerkersovereenkomst moet voldoen aan een reeks minimale eisen, én slim zijn afgestemd op de risico’s van jouw specifieke verwerkingen.
Hieronder een overzicht van de onderdelen die verplicht zijn in een verwerkersovereenkomst, met toelichting.
Beschrijf duidelijk:
Bijvoorbeeld: “Het doel van de verwerking is het bijhouden van personeelsgegevens ten behoeve van salarisadministratie. De verwerking duurt zolang de verwerkersrelatie voortduurt, met een bewaartermijn van X maanden na afloop.”
Geef aan:
Dit helpt bij het inschatten van het risico en het toepassen van de juiste beveiligingsmaatregelen.
De verwerker mag persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de verantwoordelijke. Hier leg je vast welke instructies er zijn en hoe wijzigingen in de instructies worden doorgegeven en geaccordeerd.
Zonder expliciete instructies loop je als verantwoordelijke risico op verlies van controle en dus op AVG-aansprakelijkheid.
Zorg ervoor dat is vastgelegd dat de verwerker én diens personeel:
Leg vast welke technische en organisatorische maatregelen de verwerker treft om persoonsgegevens te beschermen. Denk aan:
Als de verwerker zelf externe partijen wil inschakelen (zoals een hostingprovider), moet:
De verantwoordelijke moet kunnen controleren of de verwerker zich aan de afspraken houdt. Leg dus vast (i) of en hoe vaak audits mogelijk zijn, (ii) wie de audit uitvoert (interne audit, derde partij) en (iii) of de verwerker verplicht is om documentatie te verstrekken of toegang te geven tot systemen.
Verwerkers zijn verplicht om zonder onredelijke vertraging melding te doen van een datalek aan de verwerkingsverantwoordelijke. In de overeenkomst leg je vast:
Na afloop van de opdracht moet de verwerker (i) de persoonsgegevens wissen of (ii) teruggeven aan de verantwoordelijke, afhankelijk van de instructie. Leg vast welke keuze van toepassing is én of de verwerker een verklaring van verwijdering moet afgeven.
Hoewel bovenstaande bepalingen wettelijk verplicht zijn, is het in de praktijk slim om ook afspraken te maken over:
Een subverwerker is een partij die de oorspronkelijke verwerker inschakelt om (een deel van) de verwerking uit te voeren. Denk aan een hostingprovider of cloudpartij die jouw SaaS-verwerker inschakelt.
Wat moet je regelen over subverwerkers?
Vergeet niet: als subverwerkers buiten de EER worden ingezet (bijv. Amerikaanse cloudbedrijven), dan moet je ook kijken naar standaardcontractbepalingen of adequaatheidsbesluiten.
Schakel je een zzp’er in die toegang heeft tot persoonsgegevens? Dan is een verwerkersovereenkomst vaak verplicht – maar niet altijd. De uitzondering? Intern beheer.
Als de zzp’er de gegevens verwerkt buiten jouw organisatie of systemen, op zelfstandige wijze en volgens jouw instructies. Denk aan een freelance VA die werkt in haar eigen omgeving, of een boekhouder met toegang tot klantdata.
Werkt de zzp’er onder jouw direct toezicht, binnen jouw beveiligde systemen, en zonder eigen zeggenschap over de verwerking? Dan is er sprake van intern beheer en is een verwerkersovereenkomst niet vereist.
Toch blijft het verstandig om ook dan afspraken schriftelijk vast te leggen, bijvoorbeeld over geheimhouding, dataveiligheid en wat er met de gegevens gebeurt na afloop van de opdracht.
Meer weten? Lees verder in onze blog: Een zzp’er inschakelen: heb je een verwerkersovereenkomst nodig?
Ja, meestal wel. Verwerkt je boekhouder persoonsgegevens in jouw opdracht (zoals salarisgegevens of klantinformatie), dan is hij in de meeste gevallen een verwerker onder de AVG. Je bent dan verplicht een verwerkersovereenkomst te sluiten waarin staat hoe die gegevens worden beschermd en verwerkt
Als je gebruikmaakt van tools zoals Mailchimp, ActiveCampaign of Spotler, dan is er sprake van een derde partij die namens jou persoonsgegevens verwerkt. Denk aan namen, e-mailadressen en klikgedrag. Je moet in dat geval een verwerkersovereenkomst sluiten, ook als de dienst zich buiten de EU bevindt. Controleer dan ook of er een geldig doorgifte-mechanisme is (zoals standaardcontractbepalingen).
Ja, als je persoonsgegevens opslaat in de cloud via een externe dienstverlener (bijvoorbeeld Google Drive, Dropbox of AWS), dan moet je een verwerkersovereenkomst afsluiten. De cloudprovider fungeert als verwerker, omdat zij jouw gegevens opslaan of beheren. Let op: bij internationale cloudopslag moet je ook controleren of de doorgifte aan derde landen rechtmatig is volgens de AVG.
Ja, maar wees voorzichtig. Er zijn veel voorbeeld-verwerkersovereenkomsten online, maar deze zijn vaak te algemeen, missen verplichte onderdelen of sluiten niet aan bij jouw specifieke situatie. Een verkeerd opgestelde overeenkomst biedt schijnzekerheid. Laat een jurist er altijd even naar kijken als je twijfelt. Je blijft als verantwoordelijke uiteindelijk aansprakelijk.
Ja, meestal wel. Als klanten jouw SaaS-platform gebruiken om persoonsgegevens te verwerken (denk aan CRM, HR-tools, boekhoudsoftware), dan ben jij verwerker in de zin van de AVG. Jij verwerkt namelijk gegevens in opdracht van je klant. Je bent dan verplicht een verwerkersovereenkomst aan te bieden waarin staat hoe jij de gegevens verwerkt, beveiligt en met subverwerkers omgaat.
Een goede verwerkersovereenkomst is geen standaarddocument. Het moet passen bij jouw rol (verwerker of verwerkingsverantwoordelijke), jouw sector (zoals SaaS of IT-dienstverlening), én bij de concrete risico’s van jouw gegevensverwerking. Alleen dan ben je AVG-compliant én juridisch gedekt als er iets misgaat.
Onze juristen zijn gespecialiseerd in het privacy- en ICT-recht. Wij helpen organisaties dagelijks bij het opstellen, beoordelen en actualiseren van verwerkersovereenkomsten. Of je nu werkt met freelancers, cloudopslag, klantdata of softwarekoppelingen – wij zorgen dat de afspraken kloppen en juridisch standhouden.
Wil je zeker weten dat jouw verwerkersovereenkomst voldoet aan de AVG? Of heb je een bestaande overeenkomst die je wilt laten checken?
Neem gerust contact met ons op voor juridisch advies of een voorstel op maat.
Co-founder & Senior Legal Counsel
We zijn gevestigd op de Vijzelstraat 68 (1017 HL) in het mooie Amsterdam en sinds 2018 ingeschreven in het register van de Kamer van Koophandel onder nummer: 71533230.
Ons BTW-nummer: NL858752530B01.
Vijzelstraat 68
1017 HL, Amsterdam
KvK: 71533230
BTW-nummer: NL858752530B01
Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten.
Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.
Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht.
Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.
Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.
Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).