Verwerkersovereenkomst onder de AVG: waarom dit document onmisbaar is
Organisaties wisselen dagelijks persoonsgegevens uit met externe partijen. Denk aan salarisverwerkers, cloudsoftware, CRM-systemen, marketingtools of IT-dienstverleners. Zodra een externe partij in opdracht persoonsgegevens verwerkt, stelt de AVG één duidelijke eis: maak bindende afspraken vastgelegd in een verwerkersovereenkomst.
Toch blijkt in de praktijk dat veel organisaties niet precies weten wanneer zo’n overeenkomst verplicht is, of wat er minimaal in moet staan. Dat is risicovol, want bij fouten of datalekken blijft de verantwoordelijkheid altijd bij de organisatie zelf liggen.
In dit artikel leggen we helder uit wanneer een verwerkersovereenkomst nodig is, wat erin hoort te staan en waarom dit document cruciaal is voor aantoonbare AVG-compliance.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een juridisch document tussen twee partijen:
- De verwerkingsverantwoordelijke
De organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt. - De verwerker
De partij die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.
De AVG verplicht organisaties om deze afspraken schriftelijk vast te leggen zodra een derde partij toegang heeft tot persoonsgegevens of deze verwerkt. Dit geldt ongeacht of de verwerking digitaal of fysiek plaatsvindt.
Wanneer is een verwerkersovereenkomst verplicht?
Een verwerkersovereenkomst is verplicht zodra:
- persoonsgegevens buiten de eigen organisatie worden verwerkt;
- een externe partij toegang heeft tot systemen waarin persoonsgegevens staan;
- gebruik wordt gemaakt van SaaS-oplossingen of cloudsoftware;
- een leverancier taken uitvoert waarbij persoonsgegevens nodig zijn.
Belangrijk:
De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk. Uitbesteden betekent dus niet dat aansprakelijkheid verdwijnt.
Wanneer software volledig intern draait en derden géén toegang hebben tot persoonsgegevens, is een verwerkersovereenkomst doorgaans niet nodig.
Veelvoorkomende situaties waarin een verwerkersovereenkomst nodig is
In de praktijk worden verwerkersovereenkomsten onder andere gesloten met:
- salarisverwerkers;
- CRM- en ERP-leveranciers;
- nieuwsbrief- en marketingsoftware;
- cloud- en hostingproviders;
- website- en applicatiebeheerders;
- externe IT-dienstverleners;
- drukkerijen met adresbestanden.
Ook freelancers of tijdelijke krachten die toegang krijgen tot systemen met persoonsgegevens vallen hieronder.
Wat moet er minimaal in een verwerkersovereenkomst staan?
De AVG schrijft voor dat een verwerkersovereenkomst onder andere duidelijk maakt:
- Welke persoonsgegevens worden verwerkt;
- Voor welk doel en hoe lang de verwerking plaatsvindt;
- Welke beveiligingsmaatregelen worden toegepast;
- Dat gegevens alleen worden verwerkt op instructie van de verwerkingsverantwoordelijke;
- Hoe wordt omgegaan met subverwerkers;
- Hoe wordt voldaan aan de rechten van betrokkenen (inzage, correctie, verwijdering);
- Hoe en wanneer datalekken worden gemeld;
- Wat er gebeurt met gegevens bij beëindiging van de samenwerking;
- Dat audits en controles mogelijk zijn.
Daarnaast worden vaak afspraken gemaakt over aansprakelijkheid, vrijwaringen en boetes.
Het beveiligingsniveau moet altijd in verhouding staan tot de gevoeligheid van de gegevens. Een zorginstelling met medische dossiers stelt logischerwijs strengere eisen dan een organisatie die alleen e-mailadressen verwerkt.
Standaard verwerkersovereenkomsten: handig maar niet klakkeloos gebruiken
Veel sectoren werken met modelovereenkomsten, bijvoorbeeld binnen:
- overheid en gemeenten;
- zorg en onderwijs;
- accountants en financiële dienstverlening.
Deze modellen bieden een goed vertrekpunt, maar moeten altijd worden afgestemd op de specifieke situatie. Algemene voorwaarden van leveranciers bevatten soms bepalingen over gegevensverwerking, maar die zijn niet automatisch voldoende om aan de AVG te voldoen.
Controleer daarom altijd:
- of de inhoud aansluit op jouw verwerkingen;
- of subverwerkers correct zijn geregeld;
- of beëindiging en dataverwijdering expliciet zijn vastgelegd.
Zelf een verwerkersovereenkomst opstellen: waar moet je op letten?
Het is mogelijk om zelf een verwerkersovereenkomst op te stellen, mits je:
- de AVG-vereisten goed begrijpt;
- helder vastlegt wie welke rol heeft;
- concrete beveiligingsmaatregelen beschrijft;
- procedures vastlegt voor incidenten en audits.
Gebruik bij voorkeur een erkend model als basis en pas dit aan op jouw organisatie. Onduidelijke of algemene formuleringen vergroten juist het risico bij controles of incidenten.
Juridische gevolgen bij het ontbreken van een verwerkersovereenkomst
Het ontbreken van een correcte verwerkersovereenkomst kan leiden tot:
- overtreding van de AVG;
- aansprakelijkheid bij datalekken;
- handhaving door de Autoriteit Persoonsgegevens;
- boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet;
- reputatieschade en verlies van vertrouwen.
Daarnaast vereist de AVG dat organisaties ook een verwerkingsregister bijhouden, waarin onder meer verwerkers, subverwerkers, beveiligingsmaatregelen en eventuele doorgifte naar derde landen zijn vastgelegd.
Conclusie: geen formaliteit, maar een essentieel compliance-instrument
Een verwerkersovereenkomst is geen administratief vinkje, maar een fundamenteel onderdeel van AVG-compliance. Het document zorgt voor duidelijke verantwoordelijkheden, voorkomt misverstanden en helpt organisaties aantoonbaar te voldoen aan wet- en regelgeving.
Organisaties die hun verwerkersovereenkomsten op orde hebben:
- verkleinen de kans op datalekken;
- staan sterker bij audits en toezicht;
- beschermen niet alleen data, maar ook vertrouwen.
Tip: controleer periodiek of bestaande verwerkersovereenkomsten nog actueel zijn en aansluiten op de praktijk.
Checklist: “Heb jij je verwerkersovereenkomsten op orde?”
Gebruik deze checklist om direct inzicht te krijgen in je AVG-risico’s
Stap 1 – Inventarisatie
- ☐ Heb je een actueel overzicht van alle leveranciers die persoonsgegevens verwerken?
- ☐ Zijn ook SaaS-oplossingen, cloudsoftware en externe ICT-partijen meegenomen?
- ☐ Hebben freelancers of tijdelijke krachten toegang tot systemen met persoonsgegevens?
Stap 2 – Verplicht of niet?
- ☐ Is per leverancier vastgesteld of deze verwerker of verwerkingsverantwoordelijke is?
- ☐ Is vastgelegd waarom wel of geen verwerkersovereenkomst nodig is?
- ☐ Is dit besluit aantoonbaar vastgelegd (bijvoorbeeld in het verwerkingsregister)?
Stap 3 – Inhoud controleren
- ☐ Zijn doel, aard en duur van de verwerking beschreven?
- ☐ Zijn beveiligingsmaatregelen concreet vastgelegd?
- ☐ Is geregeld hoe datalekken worden gemeld en afgehandeld?
- ☐ Zijn afspraken over subverwerkers opgenomen?
- ☐ Is vastgelegd wat er met gegevens gebeurt bij beëindiging?
Stap 4 – Governance en toezicht
- ☐ Heb je het recht op audits expliciet vastgelegd?
- ☐ Is duidelijk wie verantwoordelijk is voor toezicht en actualisatie?
- ☐ Sluit de overeenkomst aan op het verwerkingsregister?
Stap 5 – Actualiteit
- ☐ Zijn de overeenkomsten recent gecontroleerd?
- ☐ Sluiten ze aan op huidige werkwijzen en gebruikte systemen?
- ☐ Zijn wijzigingen in wetgeving, software of dienstverlening verwerkt?
Tip: Plan jaarlijks een vaste controle op verwerkersovereenkomsten. Dat voorkomt verrassingen bij audits of datalekken.
Meest gelezen
- Het verschil tussen een Functionaris Gegevensbescherming (FG) en een Privacy Officer (PO).
- Nieuwe regels vanaf 2023 voor AVG-boetes: wat je moet weten
- AVG e-learning: zorg dat je medewerkers op de hoogte zijn
- AVG training voor het vergroten van de bewustwording
- Welke informatie bevat het AVG verwerkingsregister?
Vragen? Stuur een appje. 
