Verwerkersovereenkomsten leveranciers

Hoe maak je een overzicht van al je leveranciers die persoonsgegevens verwerken?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je bent lekker aan het werk, je bedrijf draait op rolletjes, en dan gebeurt het. Een datalek. Niet bij jou, maar bij een leverancier.

Inhoudsopgave
  1. Waarom dit overzicht jouw belangrijkste verdediging is
  2. Stap 1: De speurtocht naar alle leveranciers
  3. Stap 2: De diepte in – wat doen ze precies?
  4. Stap 3: De juridische basis – contracten en DPA’s
  5. Stap 4: Monitoring en audits – het is nooit klaar
  6. Tools om je te helpen
  7. Conclusie

Een partij die je vertrouwt met je klantdata. Paniek? Zeker. Maar het wordt pas een écht drama als je op dat moment geen idee hebt wie die leverancier was, wat ze precies voor je deden en welke gegevens ze hadden.

Het opstellen van een overzicht van leveranciers die persoonsgegevens verwerken, is niet alleen een klusje voor de compliance-afdeling; het is je reddingsboei in een storm. Laten we helder en duidelijk uitleggen hoe je dit aanpakt, zonder ingewikkelde jargon, maar wel met de scherpte die het verdient.

Waarom dit overzicht jouw belangrijkste verdediging is

Een overzicht is veel meer dan een saaie administratieve lijst. Het is de basis van je privacy-strategie.

Onder de Algemene Verordening Gegevensbescherming (AVG) ben je zelf verantwoordelijk voor wat er met je data gebeurt, ook als je het uitbesteedt. Zonder overzicht loop je blind. De gevolgen van het niet hebben van een dergelijk register zijn serieus:

  • Boetes: De Autoriteit Persoonsgegevens (AP) kan torenhoge boetes opleggen. We hebben het over bedragen die kunnen oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is. En ja, die boete kan volgen omdat een leverancier de kous niet op orde had.
  • Reputatieschade: Klanten zijn je zuurstof. Als een leverancier hun gegevens lekt, ben jij degene die ze verantwoordelijk houden. Het vertrouwen is snel verdwenen.
  • Juridische chaos: Zonder contractuele afspraken (zoals een Data Processing Agreement of DPA) loop je het risico op juridische geschillen die je liever vermijdt.
  • Inefficiëntie: Je kunt geen goede beveiligingsmaatregelen nemen als je niet weet waar je data precies staan. Je loopt blind.

Stap 1: De speurtocht naar alle leveranciers

De eerste stap is identificeren. Dit klinkt simpel, maar in de praktijk is het vaak een uitdaging.

De belangrijkste categorieën om te checken

Veel bedrijven hebben tientallen, soms honderden leveranciers, en niet allemaal is het direct duidelijk of ze persoonsgegevens verwerken.

Begin met een brede inventarisatie en focus op logische categorieën. Zoek niet alleen naar de grote namen, maar denk ook aan de diensten die op de achtergrond draaien. Denk aan: Maak een lijst.

  • IT en Cloud: Hostingpartijen zoals Amazon Web Services (AWS) of Microsoft Azure, maar ook softwareleveranciers voor je boekhouding of CRM-systeem.
  • Marketing: Diensten voor e-mailcampagnes (Mailchimp), analytics (Google Analytics) en advertentieplatforms.
  • Logistiek: Partijen die pakketten bezorgen of track-en-trace diensten leveren; zij hebben naam- en adresgegevens nodig.
  • Klantenservice: Externe callcenters of chatbot-diensten.
  • Betalingsverwerkers: Bedrijven zoals Stripe of Adyen die betalingen afhandelen.
  • HR-dienstverleners: Payroll-bedrijven of sollicitatieplatforms.

Een simpele spreadsheet werkt voor de meeste bedrijven prima. Noteer de naam, het adres, de website en de specifieke dienst.

Denk ook aan indirecte leveranciers. Stel je gebruikt een CRM-systeem; als dat CRM-systeem weer gebruikmaakt van een externe cloud-provider, ben je daar ook verantwoordelijk voor. Dit noem je sub-verwerkers.

Stap 2: De diepte in – wat doen ze precies?

Een lijst namen is stap één, maar je moet weten wat er gebeurt met je data. Vraag jezelf af: welke persoonsgegevens verwerken ze eigenlijk?

Stel de volgende vragen aan je leverancier (of check hun privacyverklaring): Vraag de leverancier om hun privacyverklaring en eventuele certificeringen (zoals ISO 27001 of SOC 2). Hoe controleer je of je leveranciers zelf AVG-compliant zijn? Documenteer de antwoorden. Dit geeft je inzicht in de risico’s. Als een leverancier weigert te communiceren, is dat een groot rode vlag.

  • Welke data? Gaat het alleen om naam en e-mailadres, of ook om gevoelige informatie zoals locatiegegevens, IP-adressen of zelfs gezondheidsgegevens?
  • Waarom? Is het noodzakelijk voor de dienstverlening (bijvoorbeeld een bezorgadres) of voor aanvullende doeleinden zoals marketing?
  • Hoe lang? Bewaren ze de data voor altijd of slechts zo lang als nodig?
  • Beveiliging? Gebruiken ze encryptie? Hoe regelen ze toegangscontrole?
  • Delen ze het? Werken ze samen met derde partijen?

Stap 3: De juridische basis – contracten en DPA’s

Zodra je weet wat een leverancier doet, moet je dit juridisch vastleggen. Wat doe je als een leverancier weigert een verwerkersovereenkomst te tekenen?

De Data Processing Agreement (DPA)

Je kunt niet zomaar vertrouwen op een mondeling akkoord. De kern van de AVG is aantoonbaarheid. Elke leverancier die persoonsgegevens verwerkt, moet een DPA hebben. Dit is een specifiek contract waarin staat wat er minimaal in een verwerkersovereenkomst moet staan om te voldoen aan de AVG.

  • De doeleinden van de verwerking.
  • De soorten persoonsgegevens.
  • De verplichtingen van de leverancier, zoals beveiliging en het melden van datalekken binnen 72 uur.
  • De rechten van betrokkenen (inzage, rectificatie, wissing).
  • Regels voor het inschakelen van sub-verwerkers.

Een goede DPA bevat in ieder geval: Gebruik een standaard DPA, bijvoorbeeld die van de Autoriteit Persoonsgegevens of een template die past bij je branche.

Grote partijen zoals Microsoft of Salesforce hebben vaak hun eigen standaardcontracten; zorg dat je deze downloadt en opslaat.

Verwerkersovereenkomsten en verantwoordelijkheid

Let op: als je een verwerker inschakelt, ben je zelf de 'verantwoordelijke'. Dit betekent dat jij de eindverantwoordelijkheid draagt. Zorg er dus voor dat de DPA waterdicht is.

Teken niets voordat je de clausules hebt gelezen. Gaat het om een buitenlandse leverancier? Check dan of er voldoende waarborgen zijn (zoals Standard Contractual Clauses).

Stap 4: Monitoring en audits – het is nooit klaar

Een overzicht is geen statisch document; het is een levend iets. Leveranciers veranderen, diensten worden uitgebreid en nieuwe risico’s doen zich voor.

Periodiek controleren

Je moet blijven monitoren. Plan een jaarlijkse check. Vraag je af: Een voorbeeld van een bedrijf dat dit goed doet, is Salesforce.

  • Zijn er nieuwe sub-verwerkers toegevoegd?
  • Is de beveiliging nog up-to-date?
  • Heeft de leverancier een datalek gehad en is dit netjes gemeld?

Ze bieden transparante rapporten over hun beveiliging (zoals SOC 2-rapporten) en informeren klanten proactief.

Audits uitvoeren

Vraag dergelijke documenten ook bij je eigen leveranciers op. Afhankelijk van de risico’s kun je een audit uitvoeren. Dit hoeft geen grootse operatie te zijn; een simpele vragenlijst of een controle op certificaten kan al veel opleveren.

Bij hoogrisico-leveranciers (bijvoorbeeld een cloud-provider met al je klantdata) kan een externe audit nodig zijn. Houd een register bij van al je controles en bevindingen. Mocht er ooit een onderzoek komen door de AP, dan kun je aantonen dat je je best hebt gedaan.

Tools om je te helpen

Je hoeft het niet allemaal handmatig te doen. Er zijn tools die het proces versnellen en overzichtelijker maken.

  • Spreadsheets: Voor kleine bedrijven is Excel of Google Sheets vaak voldoende. Maak tabbladen voor leveranciers, contracten en risico’s.
  • Vendor Risk Management (VRM) software: Voor grotere organisaties zijn tools zoals ServiceNow VRM of RSA Archer ideaal. Ze automatiseren vragenlijsten en monitoren risico’s.
  • Privacy Management Software: Tools zoals OneTrust of Securiti helpen bij het beheren van DPAs en het volgen van sub-verwerkers.
  • Data Discovery Tools: Deze tools scannen je netwerk en cloud-omgeving om te zien waar persoonsgegevens zich bevinden, inclusief bij leveranciers.

    Kies een tool die past bij je budget en complexiteit. Voor de meeste MKB-bedrijven is een gestructureerde spreadsheet met een jaarlijkse check voldoende.

    Conclusie

    Het opstellen van een overzicht van leveranciers die persoonsgegevens verwerken, is geen rocket science, maar het vereist discipline en aandacht. Door te beginnen met identificatie, de diepte in te gaan met vragen, juridisch vast te leggen via DPAs en continu te monitoren, bouw je een stevige basis voor privacybescherming. Je minimaliseert risico’s, voldoet aan de AVG en beschermt het vertrouwen van je klanten. Het is een investering die zich dubbel en dwars terugbetaalt, vooral als het fout gaat bij een leverancier. Dus, wacht niet tot het te laat is en pak die spreadsheet erbij. Je toekomstige ik zal je dankbaar zijn.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →