Verwerkingsregister documentatieplicht

Wat moet je documenteren als je een externe verwerker inschakelt?

Eva de Vries Eva de Vries
· · 9 min leestijd
Wat moet je documenteren bij een externe verwerker?

Stel je voor: je hebt een gloednieuwe marketingtool of een cloudservice nodig. Je schakelt een bedrijf in om dit te regelen.

Inhoudsopgave
  1. De kern: de verwerkersovereenkomst
  2. Verwerkingsregister: de administratie bijhouden
  3. Toegangscontrole: wie mag wat zien?
  4. Het incident response plan: klaar voor het ergste
  5. Monitoring en audits: vertrouwen is goed, controle is beter
  6. Conclusie: documentatie als fundament
  7. Veelgestelde vragen

Handig, want het bespaart je tijd en geld. Maar wacht even. Zodra je iemand anders jouw klantgegevens laat aanraken, ben je niet meer de enige die verantwoordelijk is voor die data.

Onder de AVG (Algemene Verordening Gegevensbescherming) blijf jij de eindverantwoordelijke, ook als een ander het werk doet. Dat klinkt spannend, maar het is eigenlijk heel logisch. De oplossing? Goede documentatie. Als je het goed vastlegt, loop je minder risico en voldoe je aan de wet. Laten we eens kijken wat je precies op papier moet zetten (of digitaal natuurlijk) om jezelf en je klanten te beschermen.

De kern: de verwerkersovereenkomst

Elke samenwerking begint met een goed gesprek, maar bij data delen moet dat gesprek ook op papier staan. Dit document heet een verwerkersovereenkomst (VRO). Dit is niet zomaar een addendum bij een factuur; het is het belangrijkste document in deze context.

Zonder VRO mag je simpelweg geen persoonsgegevens delen met een externe partij.

Wat er in die overeenkomst moet staan

Wie is een externe verwerker eigenlijk? Denk aan een boekhouder die toegang heeft tot klantdata, een cloudprovider zoals Google Cloud of AWS, een payrollbedrijf, of zelfs een marketingbureau dat je e-maillijst beheert.

Ze verwerken data namens jou. De VRO legt vast hoe ze dat mogen doen. Een verwerkersovereenkomst hoeft geen ingewikkeld juridisch moeras te zijn, maar hij moet wel compleet zijn. Hier zijn de essentiële punten die je moet checken:

  • Doel van de verwerking: Waarom deel je de data eigenlijk? De verwerker mag de gegevens alleen gebruiken voor het doel dat jij hebt afgesproken. Geen verrassingen dus.
  • Soorten gegevens: Wees specifiek. Gaat het om namen en e-mails, of om gevoelige data zoals medische dossiers of financiële informatie? Dit bepaalt hoe streng de maatregelen moeten zijn.
  • Beveiligingsmaatregelen: Dit is het hart van de zaak. De verwerker moet aantonen hoe hij de data beschermt. Denk aan encryptie (versleuteling), firewalls en toegangscontroles. Vraag gerust naar certificeringen zoals ISO 27001 of een SOC 2-rapport. Als een bedrijf zegt "we regelen het wel", is dat een rode vlag.
  • Subverwerkers: Wat doet de verwerker zelf? Schakelt hij weer iemand anders in? Jij moet hier toestemming voor geven. Je wilt niet dat je data ongemerkt naar een server in een ver land gaat die jij niet kent.
  • Datalekken melden: Als er iets misgaat, moet de verwerker jou direct informeren. Meestal binnen 72 uur. Een stilte is geen optie.
  • Teruggave of vernietiging: Als de samenwerking stopt, wat gebeurt er met de data? De verwerker moet alle kopieën verwijderen, tenzij de wet iets anders vereist.

Verwerkingsregister: de administratie bijhouden

Naast de overeenkomst is er nog een document dat onmisbaar is: het verwerkingsregister. Dit is eigenlijk een soort agenda van alle activiteiten waarbij persoonsgegevens worden gebruikt.

Het klinkt saai, maar het geeft je overzicht. Voor elke verwerkingstak (bijvoorbeeld 'salarisadministratie' of 'nieuwsbrief versturen') leg je vast wat er gebeurt.

  • Welke persoonsgegevens verwerk je precies?
  • Wat is het doel daarvan?
  • Wie heeft er toegang toe?
  • Hoelang bewaar je de data?
  • Wie is de verwerker?

Je hoeft geen roman te schrijven, maar de basis moet kloppen. Denk aan: Dit register helpt je niet alleen om AVG-proof te blijven, maar het maakt ook duidelijk hoe je bedrijf in elkaar zit. Als je een controle krijgt van de Autoriteit Persoonsgegevens (AP), is dit het eerste document dat ze willen zien.

De DPIA: risico’s in kaart brengen

Soms is een simpele check niet genoeg. Als je gevoelige data verwerkt of grootschalige profiling doet, moet je een Data Protection Impact Assessment (DPIA) uitvoeren.

Dit is een soort risicoanalyse specifiek voor privacy. Je stelt jezelf de vraag: wat kan er misgaan als deze data op straat komt? En hoe groot is die kans? Een DPIA is verplicht als de verwerking hoogstwaarschijnlijk een hoog risico vormt voor de rechten van mensen.

Denk aan gezondheidsdata, locatietracking of financiële gegevens op grote schaal. Het resultaat van zo’n DPIA moet je documenteren.

Je hoeft niet per se een extern bureau in te schakelen; je kunt het vaak prima zelf doen met een gestructureerde aanpak.

Toegangscontrole: wie mag wat zien?

Stel je voor: je werkt samen met een extern bureau. Zij hebben toegang tot jouw systemen.

Wie binnen dat bureau mag die data daadwerkelijk inzien? Is het iedereen, of alleen de projectleider? Documenteer dit duidelijk. Het principe van ‘need to know’ (je mag alleen zien wat je nodig hebt) is hier leidend.

Leg vast hoe je toegang verleent en hoe je deze weer intrekt.

Als iemand uit dienst gaat bij de verwerker, moet de toegang direct worden geblokkeerd. Log ook wie er wanneer inlogt. Dit helpt bij het detecteren van onregelmatigheden.

Het incident response plan: klaar voor het ergste

Niemand wil een datalek, maar het kan gebeuren. Een hack, een verloren laptop, of een menselijke fout.

Als het misgaat, telt elke seconde. Daarom moet je een plan hebben liggen.

Dit plan beschrijft precies wat er moet gebeuren zodra een lek wordt ontdekt. Wie belt wie? Hoe beoordeel je de ernst? Wanneer moet de Autoriteit Persoonsgegevens worden ingelicht?

En hoe informeer je de betrokkenen (je klanten)? Documenteer dit plan en test het regelmatig. Doe een oefening: stel je voor dat je een e-mail krijgt met het bericht dat er een lek is. Weet je dan wat je moet doen?

Als je samenwerkt met een externe verwerker, moet in het plan staan wie welke taak op zich neemt.

De verwerker moet jou immers tijdig informeren, maar als verwerkingsverantwoordelijke versus verwerker moet jij de eindverantwoordelijkheid nemen.

Monitoring en audits: vertrouwen is goed, controle is beter

Je sluit een overeenkomst af, maar daarmee is het verhaal niet klaar.

Je moet blijven controleren of de verwerker zich aan de afspraken houdt. Dit noem je monitoring. Vraag de verwerker periodiek om een update.

Hebben ze hun beveiliging geüpdatet? Zijn er nieuwe risico’s?

Een audit is een grondigere controle. Je kunt zelf een audit uitvoeren of een onafhankelijke derde partij inschakelen.

Sta in je contract toe dat je (of een auditor) inzage krijgt in de systemen en logboeken. Het is niet bedoeld om de verwerker te wantrouwen, maar om zeker te weten dat de data veilig is. Als je merkt dat een verwerker hier moeilijk over doet, of als je bijvoorbeeld gezondheidsgegevens in je verwerkingsregister moet opnemen, is dat een signaal om opnieuw naar de samenwerking te kijken.

Conclusie: documentatie als fundament

Wanneer je een externe verwerker inschakelt, is documentatie je beste vriend. Het zorgt voor duidelijkheid, verantwoordelijkheid en veiligheid.

Van de verwerkersovereenkomst tot het bijhouden van je verwerkingsregister en een incidentplan: het zijn de bouwstenen van een veilige samenwerking.

Het kost misschien even tijd om dit op te zetten, maar het betaalt zich terug in gemoedsrust en naleving van de wet. Onthoud: je bent nooit klaar met documenteren. De wereld verandert, technologie verandert, en wetten veranderen.

Blijf alert, blijf bijwerken en zorg dat je altijd weet wat er met je data gebeurt. Zo bouw je niet alleen aan een veilige bedrijfsvoering, maar ook aan het vertrouwen van je klanten.

Veelgestelde vragen

Wat is precies een verwerkersovereenkomst (VRO) en waarom is het belangrijk?

Een verwerkersovereenkomst (VRO) is een contract tussen jou als opdrachtgever en een externe partij (de verwerker) die jouw klantgegevens verwerkt. Het is cruciaal omdat je, ondanks het uitbesteden, als eindverantwoordelijke blijft voor de bescherming van die data, en de VRO zorgt voor duidelijke afspraken over hoe de verwerker de gegevens mag gebruiken en beschermen, conform de AVG.

Welke specifieke beveiligingsmaatregelen moet ik eisen van een externe verwerker?

Bij het kiezen van een externe verwerker is het essentieel om te vragen naar concrete beveiligingsmaatregelen. Denk aan encryptie van de data, het gebruik van firewalls en toegangscontroles, en het aanvragen van relevante certificeringen zoals ISO 27001 of een SOC 2-rapport. Vermijd vage beloftes en vraag naar bewijs van hun beveiligingspraktijken.

Wat moet ik precies specificeren in de verwerkersovereenkomst met betrekking tot het doel van de dataverwerking?

De verwerkersovereenkomst moet duidelijk aangeven *waarom* de data wordt verwerkt. De verwerker mag de gegevens alleen gebruiken voor het specifieke doel dat jij als opdrachtgever hebt afgesproken. Dit voorkomt dat de verwerker de data voor andere, onverwachte doeleinden gebruikt, en zorgt ervoor dat de dataverwerking in lijn is met de AVG.

Hoe zorg ik ervoor dat de verwerker ook subverwerkers (andere bedrijven die ze inzetten) goed controleert?

In de verwerkersovereenkomst moet je expliciet eisen dat de verwerker toestaat dat hij subverwerkers inzet. Jij moet de activiteiten van deze subverwerkers goedkeuren en ervoor zorgen dat zij ook voldoen aan de eisen van de AVG. Dit voorkomt dat je data ongemerkt naar een onbekend bedrijf gaat.

Wat moet ik doen als een externe verwerker een datalek meldt?

Als een externe verwerker een datalek meldt, moet hij je direct informeren, meestal binnen 72 uur. Het is cruciaal om snel te reageren en samen met de verwerker te onderzoeken wat er is gebeurd en welke maatregelen er genomen worden om verdere schade te voorkomen. Open communicatie is hierbij essentieel.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →