Stel je dit even voor: je bent net klaar met een geweldig idee, je hebt een toffe nieuwe software of dienst gevonden voor je bedrijf, en je bent klaar om te starten.
▶Inhoudsopgave
Je vraagt de leverancier om een verwerkersovereenkomst (vaak afgekort als DPA), en dan… stilte. Of erger: een nee. “Wij tekenen niets”, “Dat is niet nodig”, of “Onze algemene voorwaarden zijn al voldoende”.
Je voelt meteen hoe je bloed sneller gaat stromen. Dit is niet zomaar een formaliteit; dit is de veiligheid van je klantgegevens. Wat nu? Geen paniek. Dit is een situatie die vaker voorkomt dan je denkt, en het is zeker niet onoplosbaar. In dit artikel lees je precks wat je moet doen, hoe je het gesprek aangaat en wanneer je écht de streep moet trekken. Laten we beginnen.
Waarom is een verwerkersovereenkomst zo belangrijk?
Voordat we het probleem oplossen, moeten we even helder hebben waarom dit zo’n big deal is. Onder de Algemene Verordening Gegevensbescherming (AVG), die in heel Europa geldt, ben jij als bedrijf verantwoordelijk voor de data van je klanten.
Als jij een externe partij inhuurt – een leverancier, een cloudprovider, een marketingbureau – en die partij verwerkt persoonsgegevens voor jou, dan ben jij de “verantwoordelijke” en is de leverancier de “verwerker”.
Zonder een handtekening onder een verwerkersovereenkomst ontbreekt er een cruciaal stuk papier dat vastlegt hoe er met die data wordt omgegaan. Wie mag erbij? Hoe lang wordt het bewaard? Wat gebeurt er als er een datalek is?
Als de leverancier weigert dit te tekenen, loop je juridisch gezien enorme risico’s. De Autoriteit Persoonsgegevens (AP) kan boetes uitdelen, en in het ergste geval kun je aansprakelijk worden gesteld als er iets misgaat. Kortom: zonder overeenkomst, geen samenwerking.
Stap 1: Begrijp waarom de leverancier weigert
Een leverancier die direct “nee” roept, heeft vaak een reden. Het is slim om niet meteen boos te worden, maar eerst te vragen: “Waarom eigenlijk?” Meestal zijn er drie veelvoorkomende redenen:
Onwetendheid of gemakzucht
Sommige bedrijven, vooral kleinere of startende partijen, hebben geen idee wat een verwerkersovereenkomst is. Ze denken dat het ingewikkeld is of dat het extra kosten met zich meebrengt.
Commerciële druk
Ze hebben misschien geen juridische afdeling en vinden het maar gedoe. In dit geval is educatie de sleutel. Leg rustig uit dat dit wettelijk verplicht is en dat het beide partijen beschermt. Veel grote tech-bedrijven, zoals Microsoft of Salesforce, hebben standaardcontracten.
Echt oneens met de voorwaarden
Maar kleinere leveranciers proberen soms onder de administratie te duiken. Ze willen snel zaken doen en vinden de verwerkersovereenkomst een drempel.
Ze zeggen wel eens: “We doen dit al jaren zonder en het is nooit een probleem geweest.” Dat is een risicovolle gedachte, maar wel een die je moet herkennen. Soms is de leverancier het niet eens met specifieke clausules. Misschien willen ze geen aansprakelijkheid accepteren voor datalekken die buiten hun schuld ontstaan, of weigeren ze te garanderen dat ze data in de EU opslaan. Dit is een serieus signaal.
Stap 2: Het gesprek aangaan
De volgende stap is communiceren. Ga niet meteen mailen met dreigementen, maar pak de telefoon of plan een videogesprek.
Wees duidelijk maar vriendelijk. Begin met een open houding.
Zeg iets als: “Ik begrijp dat dit extra werk is, maar voor mijn bedrijf is het essentieel dat we dit op orde hebben.” Leg uit dat het niet gaat om wantrouwen, maar om wettelijke zekerheid. Gebruik eenvoudige voorbeelden: “Stel dat er een hack plaatsvindt bij jullie, dan moeten we precies weten wat er gebeurt met de data van mijn klanten. Dat regelen we nu vast.”
Vraag of ze al een standaard verwerkersovereenkomst hebben liggen. Grote kans van wel. Als ze die niet hebben, kun je zelf een sjabloon aanbieden. Er zijn veel gratis voorbeelden online te vinden, bijvoorbeeld van de Autoriteit Persoonsgegevens of brancheorganisaties. Soms is een leverancier gewoon lui en is het aanbieden van een kant-en-klaar document genoeg om ze over de streep te trekken.
Stap 3: Alternatieve oplossingen
Als de leverancier echt voet bij stuk houdt, zijn er nog opties voordat je de samenwerking beëindigt. Je kunt onderhandelen over de voorwaarden.
Stel dat de leverancier weigert een clausule over aansprakelijkheid te accepteren. Kun je dan afspreken dat je extra verzekeringen afsluit? Of dat je data alleen anoniem verwerkt, mits je dit hebt opgenomen in je actuele overzicht van verwerkende leveranciers?
Soms is een compromis mogelijk. Let wel op: je mag nooit afwijken van de basisprincipes van de AVG, ook niet als je zelf de AVG-compliance van leveranciers controleert.
De kern van de bescherming moet blijven bestaan. Een andere optie is het gebruik van een ‘modelovereenkomst’. Dit is een standaardcontract dat door de Europese Commissie is goedgekeurd.
Als een leverancier hiermee akkoord gaat, hoef je niet opnieuw te onderhandelen over elke zin. Dit is vooral handig bij internationale partijen.
Let ook op de termijn. Soms zegt een leverancier: “We zijn ermee bezig, het duurt nog een maand.” Dit kan een smoes zijn, maar het kan ook echt waar zijn.
Geef ze een redelijke deadline, bijvoorbeeld vier weken. Zet deze afspraak schriftelijk vast.
Wanneer moet je echt stoppen?
Helaas, sommige leveranciers zijn niet te vermurwen. Als na meerdere gesprekken en herinneringen de leverancier blijft weigeren, moet je een keuze maken. Samenwerken zonder verwerkersovereenkomst is juridisch gezien geen optie.
Het is als autorijden zonder rijbewijs: je kunt het doen, maar de boete kan hard aankomen.
Als je toch doorgaat, loop je het risico op een boete van de Autoriteit Persoonsgegevens. De maximale boete onder de AVG kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Natuurlijk hangt de boete af van de ernst van de overtreding, maar zelfs bij kleine datalekken kan dit flink oplopen. Bovendien, als er echt iets misgaat en je hebt geen overeenkomst, ben je in een rechtszaak meteen de zwakkere partij. Een ander risico is reputatieschade.
Klanten vertrouwen erop dat je hun privacy waarborgt. Als uitlekt dat je samenwerkt met een partij die weigert zich aan de wet te houden, verliezen ze dat vertrouwen snel.
De keuze is dus simpel: eis een overeenkomst of zoek een andere leverancier. Het klinken hard, maar het is nodig.
Praktische tips voor de toekomst
Om te voorkomen dat je in deze situatie belandt, kun je een aantal dingen doen:
- Vraag altijd om een verwerkersovereenkomst vóór de start: Zet dit als eis in je offerteaanvraag. Zo filter je leveranciers die hier moeilijk over doen direct eruit.
- Check de reputatie: Lees reviews of vraag collega’s uit je netwerk naar hun ervaringen met een specifieke leverancier.
- Gebruik betrouwbare platforms: Grote platforms zoals Microsoft, Google of Amazon hebben vaak al waterdichte contracten klaarliggen. Bij kleine lokale partijen moet je vaker zelf het initiatief nemen.
- Houd een lijst bij: Welke leveranciers hebben getekend? Welke nog niet? Dit helpt bij je administratie en audits.
Conclusie
Een leverancier die een verwerkersovereenkomst weigert te tekenen, is een rode vlag.
Het laat zien dat ze mogelijk weinig kaas hebben gegeten van privacywetgeving of dat ze risico’s niet serieus nemen. Jouw taak is om duidelijk te zijn: zonder handtekening geen data.
Door het gesprek aan te gaan, educatie te bieden en alternatieven te verkennen, los je veel problemen op. Maar wees niet bang om de stekker eruit te trekken als het echt niet lukt. Je reputatie en je juridische zekerheid zijn het waard. Hou het simpel, hou het veilig, en zorg dat je papierwerk op orde is. Dan kun je met een gerust hart verder bouwen aan je bedrijf.