Verwerkersovereenkomsten leveranciers

Hoe controleer je of je leveranciers zelf AVG-compliant zijn?

Eva de Vries Eva de Vries
· · 8 min leestijd

Stel je voor: je hebt eindelijk je ideale leverancier gevonden. Ze leveren topkwaliteit, de prijs is scherp en de communicatie verloopt soepel.

Inhoudsopgave
  1. Waarom je leveranciers jouw zwakke schakel kunnen zijn
  2. De basis: de verwerkersovereenkomst
  3. De leveranciersaudit: vraag het gewoon
  4. Het inspecteren van de techniek
  5. Sub-verwerkers: de verborgen keten
  6. Contractuele waarborgen en aansprakelijkheid
  7. De leveranciersmonitoring: een doorlopend proces
  8. Wanneer moet je een leverancier weigeren?
  9. Conclusie: Vertrouwen is goed, controle is beter

Je bent bijna klaar om de handtekening te zetten. Maar dan speelt er zich een stille ramp af op de achtergrond. Deze leverancier bewaart namelijk al je klantgegevens op een server die net zo veilig is als een open deur.

En ja, raad eens? Jij bent als opdrachtgever verantwoordelijk voor die data.

Welkom in de wereld van de Algemene Verordening Gegevensbescherming (AVG), ook wel GDPR genoemd.

Het is niet alleen jouw eigen rommel die op orde moet zijn; je moet er ook op kunnen vertrouwen dat je partners dat ook doen. Laten we eens kijken hoe je die controle strakker trekt zonder dat je een opleiding tot jurist hoeft te volgen.

Waarom je leveranciers jouw zwakke schakel kunnen zijn

Veel bedrijven hebben hun eigen AVG-beleid op orde. Ze hebben een privacyverklaring, ze vragen toestemming voor cookies en ze wissen data als het niet meer nodig is.

Maar zodra je een derde partij inschakelt – denk aan een cloudprovider, een loonadministrateur of een marketingbureau – geef je die partij toegang tot gevoelige informatie. In de ogen van de Autoriteit Persoonsgegevens (AP) ben jij de ‘verantwoordelijke’ en is je leverancier de ‘verwerker’. Als die verwerker een datalek heeft, ben jij degene die hierop aangesproken wordt.

Je kunt niet zeggen: “Ja, maar dat was de schuld van de leverancier.” Nee, jij hebt ze gekozen.

Een leverancier die niet AVG-compliant is, is dus niet alleen vervelend; het is een directe bedreiging voor je bedrijfsvoering. Een boete kan oplopen tot 4% van de wereldwijde jaaromzet, maar de imagoschade is vaak nog veel groter. Klanten vertrouwen je niet meer als je hun data niet kunt beschermen. Daarom is het essentieel om niet blind te varen op een mooi verhaal, maar daadwerkelijk te controleren.

De basis: de verwerkersovereenkomst

Voordat je ook maar één byte data deelt, moet er een verwerkersovereenkomst (VGO) op tafel liggen. Dit is wettelijk verplicht zodra een externe partij persoonsgegevens verwerkt.

Dit document is het officiële bewijs dat beide partijen weten wat de regels zijn. Veel bedrijven denken dat een standaardcontractje van de leverancier wel voldoet, maar pas op. Sommige leveranciers hebben een verwerkersovereenkomst die vooral in hun eigen voordeel is geschreven.

Je moet controleren of de overeenkomst specifiek voldoet aan de eisen van de AVG.

Staan er clausules in over beveiligingsmaatregelen? Wie is er aansprakelijk bij een datalek? En misschien wel het belangrijkst: mag de leverancier de data doorschuiven naar sub-verwerkers (onderaannemers)?

Een goede verwerkersovereenkomst is geen formaliteit; het is je veiligheidsnet. Zonder deze handtekening mag je geen persoonsgegevens delen. Punt uit.

De leveranciersaudit: vraag het gewoon

Veel ondernemers vinden het spannend om hun leveranciers te ondervragen. Ze hebben het gevoel dat ze wantrouwen tonen.

Maar denk even na: als je een huis koopt, laat je toch ook een bouwkeuring doen? Hetzelfde principe geldt hier.

De security checklist voor leveranciers

Een leverancier die professioneel is, zal geen problemen hebben met het beantwoorden van vragen over beveiliging. Het gaat hier niet om een interne politie-inquisitie, maar om een open gesprek. Vraag naar hun beleid. Vraag of ze ISO 27001 gecertificeerd zijn, een wereldwijd erkende standaard voor informatiebeveiliging.

  • Toegangscontrole: Wie heeft er toegang tot de data? Gebruiken ze tweefactorauthenticatie (2FA)? Dit is een must-have in 2024.
  • Encryptie: Worden gegevens versleuteld opgeslagen én verzonden? Als een hacker de data steelt, moet het onleesbare rommel zijn.
  • Datalekken: Hebben ze een procedure voor het melden van datalekken? Ze moeten jou binnen 72 uur informeren als er iets misgaat.
  • Back-ups: Hoe vaak maken ze back-ups en waar worden die opgeslagen? Een back-up op dezelfde server telt niet mee.

Of vraag naar NEN-ISO 27001, wat in Nederland erg gangbaar is. Als een leverancier zegt “we zijn veilig” zonder enig bewijs of certificering, moet je alarmbellen horen rinkelen.

Om het je makkelijk te maken, kun je een aantal concrete vragen stellen. Dit is geen examen voor de leverancier, maar een manier om inzicht te krijgen in hun volwassenheid. Stel deze vragen per e-mail, zodat je schriftelijk bewijs hebt van de antwoorden. Als er later iets misgaat, kun je aantonen dat je je due diligence hebt gedaan.

Het inspecteren van de techniek

Soms moet je verder kijken dan papier. Als je een SaaS-oplossing (Software as a Service) gebruikt, zoals een CRM-systeem of een e-mailmarketingtool, kun je vaak technisch testen of ze serieus zijn. Hoewel je geen hacker hoeft in te huren, kun je wel letten op signalen.

Gebruikt de leverancier moderne protocollen zoals TLS 1.2 of 1.3 voor data-overdracht?

Als je een website bezoekt en je ziet een groen slotje in de browser, is dat stap één. Maar achter de schermen moet er meer gebeuren.

Kijk ook naar de rolverdeling. Wie is de Functionaris Gegevensbescherming (FG) bij de leverancier? Grote bedrijven zijn verplicht er een te hebben, kleinere niet, maar ze moeten wel een aanspreekpunt hebben voor privacyzaken.

Vraag naar de contactgegevens van die persoon. Als je die niet krijgt, of als het antwoord vaag is, is dat een rode vlag.

Sub-verwerkers: de verborgen keten

Een veelvoorkomend struikelblok is de sub-verwerker. Je hebt een contract met bedrijf A, maar bedrijf A slaat je data op in de cloud van Amazon Web Services (AWS) of Microsoft Azure.

Of ze gebruiken een supporttool van Zendesk. Technisch gezien zijn dit sub-verwerkers. Volgens de AVG moet je hier toestemming voor geven of op zijn minst van op de hoogte zijn.

Een goede leverancier geeft je een lijst met hun sub-verwerkers. Bijvoorbeeld: “Wij gebruiken Google Cloud Platform voor opslag en Mailchimp voor nieuwsbrieven.”

Vraag altijd om deze lijst. Als je nog geen overzicht van al je leveranciers hebt, is dit het moment om dat op te stellen. Als een leverancier weigert te vertellen waar je data precies staat, is dat een directe afwijzing. Je moet kunnen controleren of die sub-verwerkers ook betrouwbaar zijn. Als je merkt dat je data naar een land buiten de EU gaat (zoals de Verenigde Staten), moeten er extra maatregelen zijn, zoals de Privacy Shield of Standard Contractual Clauses (SCC’s). Zonder deze juridische kaders mag je data niet zomaar exporteren.

Contractuele waarborgen en aansprakelijkheid

Stel je voor dat het misgaat. De leverancier lekt je klantendatabase.

Wie betaalt de schade? In een standaardcontract staat vaak dat de leverancier alleen aansprakelijk is voor directe schade, en dan nog tot maximaal het factuurbedrag. Dat is vaak een druppel op een gloeiende plaat. Probeer in de onderhandelingen op te nemen dat de leverancier aansprakelijk is voor de volledige schade die voortvloeit uit een datalek aan hun kant.

Dit is lastig af te dwingen, zeker tegenover grote partijen, maar het is het proberen waard. Wat doe je als een leverancier weigert een verwerkersovereenkomst te tekenen? Zorg er in ieder geval voor dat de overeenkomst voorschrijft dat de leverancier direct actie onderneemt bij een lek en dat ze samenwerken met autoriteiten.

Een ander belangrijk punt is beëindiging van het contract. Wanneer de samenwerking stopt, wat gebeurt er met je data?

De leverancier moet de data verwijderen of retourneren in een gangbaar formaat. Vraag hier expliciet naar. Je wilt niet dat je gegevens jarenlang op een server blijven rondslingeren nadat je de samenwerking hebt beëindigd.

De leveranciersmonitoring: een doorlopend proces

AVG-compliance is geen eenmalige klus. Het is net als tandenpoetsen: je moet het regelmatig doen.

Een leverancier die vandaag veilig is, kan morgen een gat in hun beveiliging hebben omdat ze een update zijn vergeten. Het is verstandig om jaarlijks of na grote veranderingen (zoals een overname) de leverancier opnieuw te screenen. Vraag om een update van hun certificeringen.

Is het ISO-certificaat nog geldig? Hebben ze nieuwe sub-verwerkers toegevoegd?

Je kunt ook een steekproef doen. Vraag bijvoorbeeld om een logboek van toegangscontroles. Of test hun respons tijdens een nep-incident. Stuur een e-mail naar hun support met een privacy-gerelateerde vraag en meet hoe snel en adequaat ze reageren. Traag of ondeskundig antwoord kan duiden op onderbezetting of gebrek aan kennis.

Wanneer moet je een leverancier weigeren?

Er zijn situaties waarin je een leverancier beter kunt mijden, zelfs als hun product goed is.

  1. Geen verwerkersovereenkomst: Weigeren. Punt.
  2. Vage antwoorden: Als ze niet duidelijk kunnen uitleggen hoe ze data beschermen, zijn ze te onvolwassen.
  3. Geen melding van datalekken: Als ze geen procedure hebben, zijn ze een risico.
  4. Exotische data-opslag: Als je data wordt opgeslagen in landen met een zwakke privacywetgeving zonder adequate waarborgen, loop je juridisch risico.

Het is soms verleidelijk om door te drukken omdat een deadline nadert, maar de kosten van een datalek zijn vele malen hoger dan de vertraging van een nieuwe leverancier zoeken.

Conclusie: Vertrouwen is goed, controle is beter

Het controleren van leveranciers op AVG-compliance voelt misschien als extra werk, maar het is essentieel voor de continuïteit van je bedrijf. Je hoeft geen expert te zijn in privacyrecht om te weten wat er minimaal in een verwerkersovereenkomst moet staan.

Begin met een goede verwerkersovereenkomst, stel kritische vragen over beveiliging en houd de vinger aan de pols. Door alert te zijn, bouw je een veilig netwerk van partners om je heen. Dat geeft niet alleen rust, maar het versterkt ook je positie naar klanten toe.

Zij weten dat je serieus werk maakt van hun privacy. En dat is in 2024 misschien wel het allerbelangrijkste concurrentievoordeel dat je hebt.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →