Verwerkersovereenkomsten leveranciers

Hoe bouw je een leveranciersregister op als aanvulling op je verwerkingsregister?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je hebt je verwerkingsregister op orde. Dat is die ene lijst waar precies in staat wat je met persoonsgegevens doet.

Inhoudsopgave
  1. Waarom een leveranciersregister eigenlijk?
  2. Stap 1: Begin met een simpele basis
  3. Stap 2: Inventariseer je leveranciers
  4. Stap 3: Vul je register aan met cruciale details
  5. Stap 4: Leg verbanden met je verwerkingsregister
  6. Stap 5: Onderhoud je register actief
  7. Stap 6: Gebruik je register voor risicobeheer
  8. Stap 7: Deel je register met de juiste mensen
  9. Conclusie

Handig, netjes en compliant. Maar nu is er een gat in je data-landschap.

Want wie zijn eigenlijk die partijen die al die gegevens voor je verwerken? Waarom gebruik je ze en hoe beveilig je die data bij hen? Een leveranciersregister is het antwoord.

Het is de logische, krachtige aanvulling op je verwerkingsregister. Laten we eens kijken hoe je dat bouwt, zonder gedoe.

Waarom een leveranciersregister eigenlijk?

Je verwerkingsregister vertelt je wat je doet met data. Een leveranciersregister vertelt je met wie je dat doet. Denk aan je cloud-opslag, je e-mailmarketingtool, of die freelancer die je website onderhoudt.

Zonder dit overzicht weet je eigenlijk niet precies waar je data uitlekt of wie je moet bellen bij een datalek.

Het is simpelweg slimmer werken en bovendien vaak verplicht onder de Algemene Verordening Gegevensbescherming (AVG). Een leveranciersregister zorgt voor overzicht.

Het maakt je weerbaarder tegen risico’s en geeft je grip op je eigen data-ecosysteem. Bovendien: wie kan er nu zeggen dat hij zaken doet met bedrijven zonder te weten wat die bedrijven precies doen? Precies. Niemand. Tijd om aan de slag te gaan.

Stap 1: Begin met een simpele basis

Je hoeft niet meteen een duur softwareprogramma te kopen. Begin klein. Een Excel- of Google Sheets-bestand volstaat prima voor de start.

  • Naam van de leverancier
  • Contactpersoon
  • Type dienst (bijvoorbeeld hosting, marketing, HR)
  • Soort data die ze verwerken
  • Land waar de leverancier is gevestigd

Maak een leeg document en bedenk welke kolommen essentieel zijn. Denk aan:

Houd het simpel. Het doel is overzicht, niet een database die alleen een IT-specialist kan begrijpen. Kies voor een tool die je al kent, zoals Excel of Sheets. Zo begin je zonder hoge kosten en zonder leercurve.

Stap 2: Inventariseer je leveranciers

Nu is het tijd voor de echte klus: welke partijen verwerken eigenlijk jouw persoonsgegevens? Loop je organisatie na.

Begin bij de voor de hand liggende: Vraag je af: welke data stuur ik naar deze partijen?

  • Cloud-diensten: Denk aan Microsoft 365, Google Workspace of AWS.
  • Marketingtools: Mailchimp, HubSpot of ActiveCampaign.
  • HR-systemen: Tools zoals Nmbrs of Loket.
  • Betaalproviders: Denk aan Mollie of Adyen.

Bij een cloud-dienst is dat bijna altijd e-mails, documenten en contactgegevens. Bij een marketingtool zijn dat vooral e-mailadressen en klikgedrag. Schrijf dit per leverancier op. Wees specifiek.

Zeg niet "klantgegevens", maar bijvoorbeeld "naam, e-mailadres en bestelgeschiedenis". Vergeet niet de kleinere partijen. Die freelancer die je website bouwt? Die heeft ook toegang tot je data. De boekhouder?

Die ziet je financiële data. Zelfs je IT-beheerder heeft vaak toegang tot gevoelige systemen.

Zorg dat je ze allemaal meeneemt.

Stap 3: Vul je register aan met cruciale details

Zodra je een lijst met leveranciers hebt, is het tijd om deze aan te vullen met nuttige informatie. Dit maakt het register echt waardevol.

Doel van de verwerking

Voeg deze kolommen toe: Waarom werkt je samen met deze leverancier? Bij een e-mailmarketingtool is het doel bijvoorbeeld "versturen van nieuwsbrieven".

Bij een cloud-dienst is het "opslaan en delen van bedrijfsdocumenten". Dit helpt je later bij het beoordelen van de noodzaak.

Rechtsgrond

Waarom mag deze leverancier jouw data verwerken? Meestal is dat een verwerkersovereenkomst. Bij sommige leveranciers is het "uitvoering van een overeenkomst" of "gerechtvaardigd belang". Vergeet ook niet te controleren of je toestemming voor een sub-verwerker nodig hebt en noteer dit duidelijk.

Zo weet je altijd waar je staat. Vraag je af: hoe goed beveiligd deze partij je data?

Beveiligingsniveau

Veel grote partijen zoals Microsoft of Google hebben certificeringen zoals ISO 27001.

Vraag deze na en noteer ze. Bij kleinere partijen vraag je naar hun beveiligingsmaatregelen. Is er sprake van tweefactorauthenticatie? Hoe wordt data versleuteld? Wees kritisch.

Locatie van de data

Waar staan je gegevens? Binnen de EU of daarbuiten?

Dit is cruciaal voor de AVG. Bij leveranciers buiten de EU moet je zorgen voor extra waarborgen, zoals standaardcontractbepalingen. Noteer dit per leverancier.

Contractuele details

Wanneer loopt het contract af? Is er een verwerkersovereenkomst getekend?

Zijn er afspraken gemaakt over data-opslag na beëindiging? Noteer dit. Zo voorkom je verrassingen.

Stap 4: Leg verbanden met je verwerkingsregister

Hier wordt het pas echt interessant. Je leveranciersregister is een aanvulling op je verwerkingsregister. Koppel ze aan elkaar.

In je verwerkingsregister staat per verwerking welke partijen betrokken zijn. In je leveranciersregister staat per partij welke verwerkingen ze doen.

Maak bijvoorbeeld een extra kolom in je verwerkingsregister met "betrokken leveranciers". Of voeg in je leveranciersregister een kolom toe met "verwerkingsactiviteiten uit verwerkingsregister".

Zo ontstaat er een helder beeld van hoe data stroomt en wie daarbij betrokken is. Stel je voor: je verwerkingsregister zegt "versturen van nieuwsbrieven via e-mail". In je leveranciersregister vind je dan terug dat dit via Mailchimp gebeurt, met gegevens die in de VS worden opgeslagen. Meteen zie je: hier is extra aandacht nodig voor de data-overdracht.

Stap 5: Onderhoud je register actief

Een register is nooit af. Zonder onderhoud wordt het snel verouderd.

Plan regelmatig een moment in om je leverancierslijst bij te werken. Doe dit minimaal eens per jaar, of vaker als je organisatie groeit.

  • Zijn er nieuwe leveranciers bijgekomen?
  • Zijn er leveranciers vertrokken?
  • Zijn er wijzigingen in de dienstverlening?
  • Zijn contracten verlengd of opgezegd?

Stel jezelf bij elke update de volgende vragen: Automatiseer dit proces waar mogelijk. Sommige tools, zoals OneTrust of TrustArc, helpen bij het bijhouden van leveranciersgegevens. Maar ook met een eenvoudige reminder in je agenda kom je al ver, zeker als je kijkt naar hoe je verwerkersovereenkomsten up-to-date houdt bij wijzigingen in je leveranciersbestand.

Stap 6: Gebruik je register voor risicobeheer

Een leveranciersregister is meer dan een lijstje. Het is een hulpmiddel voor risicobeheer.

Kijk kritisch naar je leveranciers. Welke partijen verwerken de meest gevoelige data?

  • Groen: Lage risico’s, EU-gevestigd, goede beveiliging.
  • Oranje: Gemiddelde risico’s, buiten EU, maar met goede contracten.
  • Rood: Hoge risico’s, gevoelige data, zwakke beveiliging.

Welke partijen zitten buiten de EU? Welke partijen hebben een verouderde beveiliging? Maak een risicoclassificatie. Bijvoorbeeld: Focus je op de rode leveranciers.

Vraag extra documentatie op, voer audits uit of overweeg alternatieven. Zo maak je je organisatie weerbaarder.

Stap 7: Deel je register met de juiste mensen

Een register dat in een la ligt, heeft geen waarde. Zorg dat de juiste mensen toegang hebben.

Denk aan je privacyofficer, je IT-team en je managers. Leg uit wat het register inhoudt en hoe het te gebruiken. Gebruik heldere taal.

Leg bijvoorbeeld uit dat het leveranciersregister helpt bij het beantwoorden van vragen van toezichthouders, zoals de Autoriteit Persoonsgegevens.

Of dat het helpt bij het snel inschatten van schade bij een datalek.

Conclusie

Een overzicht van al je leveranciers bouwen hoeft niet ingewikkeld te zijn. Begin simpel, inventariseer je leveranciers, vul aan met cruciale details en koppel het aan je verwerkingsregister. Onderhoud het actief en gebruik het voor risicobeheer.

Zo krijg je niet alleen grip op je data, maar bouw je ook een stevig fundament voor je privacybeleid.

Denk eraan: het doel is niet perfectie, maar overzicht en controle. Met een goed bijgehouden leveranciersregister sta je sterker in je schoenen, voldoe je aan de AVG en voorkom je onnodige risico’s. Dus pak die Excel-sheet, ga aan de slag en maak je organisatie klaar voor de toekomst.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →