Verwerkersovereenkomsten leveranciers

Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je bent ondernemer. Je hebt een briljant idee, je website staat en je klanten stromen binnen. Super gaaf!

Inhoudsopgave
  1. De basis: Wat is een verwerkersovereenkomst eigenlijk?
  2. Wanneer ben je verplicht een verwerkersovereenkomst af te sluiten?
  3. Wat moet er in een goede verwerkersovereenkomst staan?
  4. Waarom is een verwerkersovereenkomst zo belangrijk?
  5. Praktische stappen om aan de slag te gaan
  6. Veel voorkomende valkuilen
  7. Conclusie: regel het vandaag nog

Maar dan komt er een moment dat je hulp inschakelt. Misschien huur je een boekhouder in die je financiële gegevens verwerkt, of een marketingbureau dat je klantenmailinglijst beheert. Op dat moment geef je andermans data in handen.

En precies daar begint het verhaal van de verwerkersovereenkomst. Veel ondernemers denken: "Ach, dat is weer een hoop papierwerk waar ik geen tijd voor heb." Maar dat is een misvatting.

Een verwerkersovereenkomst is niet zomaar een formaliteit; het is je reddingsboei als het fout gaat.

In dit artikel leg ik je in helder Nederlands uit wat het is, wanneer je het nodig hebt en waarom je er vandaag nog mee aan de slag wilt.

De basis: Wat is een verwerkersovereenkomst eigenlijk?

Een verwerkersovereenkomst, in de volksmond vaak afgekort tot VOV, is een contract tussen twee partijen. De eerste partij is de 'verantwoordelijke'. Dat ben jij.

Jij bepaalt waarom en hoe de persoonsgegevens worden verwerkt. De tweede partij is de 'verwerker'.

Dat is de persoon of het bedrijf die in opdracht van jou aan de slag gaat met die gegevens. Denk aan een cloudprovider zoals Microsoft 365 of Google Workspace, een payrollbedrijf dat je loonstrookjes verwerkt, of een externe IT-beheerder die toegang heeft tot je systemen. Zij mogen jouw data niet voor hun eigen doeleinden gebruiken.

Ze mogen het alleen verwerken volgens afspraken die jullie samen hebben vastgelegd. Die afspraken staan in de verwerkersovereenkomst. Simpel gezegd: jij bent de baas over de data, zij zijn de uitvoerders. De VOV zorgt ervoor dat ze de boel netjes en veilig behandelen.

Wanneer ben je verplicht een verwerkersovereenkomst af te sluiten?

Deze vraag komt vaker voorbij dan je denkt. De wet (de Algemene Verordening Gegevensbescherming, of AVG) is hier heel duidelijk over.

Zodra jij als organisatie persoonsgegevens deelt met een externe partij – een verwerker – ben je wettelijk verplicht om een schriftelijke verwerkersovereenkomst af te sluiten. Punt uit. Het maakt niet uit of je nou een groot bedrijf bent of een eenmanszaak.

De regel geldt voor iedereen. Zolang er persoonsgegevens worden verwerkt door derden, moet ditcontract op papier staan. En nee, een mondelinge afspraak of een e-mailtje tussendoor is niet voldoende. Het moet een officieel document zijn dat beide partijen ondertekenen.

Er is een klein verschil tussen een verwerker en een derde. Een verwerker werkt in opdracht van jou.

Een derde is een partij die toevallig bij je gegevens komt, maar niet onder jouw directe instructie valt. Bij een verwerker is de VOV altijd verplicht. Bij een derde is het vaak een kwestie van goede afspraken maken, maar de VOV is specifiek voor die verwerker.

Is er geen enkele situatie waarin het niet hoeft? Jazeker wel. Als je gegevens deelt met een partij die zelf bepaalt hoe en waarom ze die gegevens gebruiken, is het geen verwerkersovereenkomst meer.

De uitzondering die de regel bevestigt

Dat heet dan een 'verantwoordelijke' relatie. Maar in de praktijk gebeurt dit zelden bij de doorsnee ondernemer.

Bijna elke samenwerking met een externe dienstverlener valt onder de noemer verwerker.

Wat moet er in een goede verwerkersovereenkomst staan?

De wet schrijft voor dat een VOV bepaalde elementen moet bevatten. Dit is niet vrijblijvend; ontbreekt er iets, dan voldoe je niet aan de AVG.

  • Doel en duur: Hoelang duurt de samenwerking en wat is het precieze doel van de gegevensverwerking?
  • Soort gegevens: Welke persoonsgegevens worden er verwerkt? Denk aan namen, adressen, betaalgegevens of medische info.
  • Verplichtingen: De verwerker moet garanderen dat ze de gegevens alleen gebruiken voor het afgesproken doel. Ze mogen het niet zomaar doorverkopen of gebruiken voor hun eigen marketing.
  • Beveiliging: De verwerker moet passende technische en organisatorische maatregelen nemen. Denk aan versleuteling, toegangscontroles en het melden van datalekken.
  • Hulp bij rechten van betrokkenen: Als een klant zijn recht op inzage of verwijdering uitoefent, moet de verwerker jou hierbij helpen.
  • Subverwerkers: Als de verwerker zelf weer iemand anders inschakelt (bijvoorbeeld een cloudleverancier), moet hij daar toestemming voor vragen en eenzelfde contract afsluiten.
  • Controle en audits: Jij als verantwoordelijke moet kunnen controleren of de verwerker zich aan de afspraken houdt.

Een goede verwerkersovereenkomst legt de volgende zaken vast: Veel grote bedrijven, zoals hostingpartijen of softwareleveranciers, hebben standaardcontracten klaarliggen.

Die kun je vaak gewoon downloaden van hun website. Let wel op: sommige standaardcontracten zijn algemeen en missen specifieke details voor jouw situatie. Pas ze aan waar nodig.

Waarom is een verwerkersovereenkomst zo belangrijk?

Stel je voor dat het misgaat. Een externe IT-dienstverlener wordt gehackt en jouw klantgegevens lekken uit.

Of een marketingbureau verkoopt per ongeluk je mailinglijst aan derden. Zonder verwerkersovereenkomst sta je met lege handen.

Jij bent als verantwoordelijke aansprakelijk voor de schade. Je kunt de verwerker niet aanspreken op contractbreuk, want er is geen contract. Een verwerkersovereenkomst beschermt niet alleen je klanten, maar ook je eigen bedrijf. Het dwingt je om na te denken over veiligheid en afspraken.

Bovendien toont het aan de Autoriteit Persoonsgegevens (AP) dat je je verantwoordelijkheid neemt.

Bij een controle of klacht kun je aantonen dat je de boel op orde hebt. Daarnaast versterkt het het vertrouwen van je klanten. Steeds meer consumenten letten op privacy. Als jij kunt laten zien dat je zaken doet met partijen die zorgvuldig met data omgaan, is dat een pré.

Praktische stappen om aan de slag te gaan

Ben je nu benieuwd of je zelf al verwerkersovereenkomsten nodig hebt? Loop dan je bedrijfsprocessen na.

  • Boekhoudsoftware of boekhouder
  • CRM-systeem (klantrelatiebeheer)
  • Marketingtools zoals e-maildiensten
  • Webhosting en domeinnaambeheer
  • Betaaldiensten zoals Stripe of PayPal
  • HR-software of payrollbedrijven

Maak een lijst van alle externe partijen waarmee je persoonsgegevens deelt. Denk aan: Voor elke partij check je of er al een verwerkersovereenkomst is. Is die er niet?

Neem contact op en vraag ernaar. Grote bedrijven hebben dit vaak wel geregeld.

Kleine freelancers of ZZP'ers soms niet. Dan moet je samen een contract opstellen.

Gebruik je standaardmodellen? Websites zoals de Autoriteit Persoonsgegevens bieden sjablonen aan. Ook juridische platforms hebben vaak gratis of betaalbare voorbeelden. Pas ze aan op jouw situatie en zorg dat beide partijen tekenen.

Let op: ook bij internationale partijen

Werkt je samen met een bedrijf buiten de EU? Dan wordt het extra belangrijk.

De AVG eist dat de gegevensstromen buiten Europa veilig zijn. Veel internationale diensten, zoals Amerikaanse techgiganten, vallen onder speciale regelingen zoals het EU-US Data Privacy Framework. Een verwerkersovereenkomst legt deze waarborgen vast.

Veel voorkomende valkuilen

Hoewel een verwerkersovereenkomst wettelijk verplicht is, zie je in de praktijk dat veel ondernemers het laten liggen.

Een veelgemaakte fout is denken dat een algemene voorwaarden voldoende is. Dat is niet zo.

Algemene voorwaarden gaan over je dienstverlening, niet over privacy. Een andere valkuil is het vergeten van kleine partijen. Een freelance tekstschrijver die toegang krijgt tot je klantendatabase, of een stagiair die je CRM beheert. Ook zij zijn verwerkers.

Regel het dus voor iedereen. Tenslotte: een verwerkersovereenkomst is geen eenmalig klusje.

Als je bedrijf groeit of je diensten veranderen, moet je de afspraken updaten. Plan jaarlijks een check in.

Conclusie: regel het vandaag nog

Een verwerkersovereenkomst is niet spannend, maar wel essentieel. Het beschermt je klanten, je bedrijf en je reputatie.

Door nu de tijd te nemen om afspraken vast te leggen, voorkom je straks juridische ellende en boetes. Ben je een startende ondernemer? Begin meteen met het inventariseren van je verwerkers. Gebruik je al jaren externe partijen?

Check of je contracten up-to-date zijn. Het kost misschien een uurtje werk, maar de gemoedsrust die het oplevert, is onbetaalbaar.

Kortom: wees geen ondernemer die pas nadenkt als het misgaat. Wees de ondernemer die de boel op orde heeft.

Want in de wereld van data is voorbereiding het halve werk.

Lees ook
Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier? Wat doe je als een leverancier weigert een verwerkersovereenkomst te tekenen?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke?
Lees verder →