Datalekken herkennen en melden

Wat is een verwerkersovereenkomst en hoe beschermt die jou bij een datalek bij een leverancier?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je hebt een toffe webshop. Je verkoopt gave producten en je klanten zijn blij.

Inhoudsopgave
  1. De verwerkersovereenkomst: even de basis
  2. Waarom is dit zo belangrijk bij een datalek?
  3. Wat staat er precies in een goede verwerkersovereenkomst?
  4. Hoe beschermt dit jou concreet?
  5. Wat als de leverancier de overeenkomst negeert?
  6. Hoe regel je dit praktisch?
  7. Veelvoorkomende valkuilen
  8. Conclusie

Je gebruikt een partij voor je e-mailmarketing, een ander voor je boekhouding en misschien wel een dienst voor je klantenservice. Alles loopt op rolletjes. Totdat je op een dag een melding krijgt: er is een datalek bij die leverancier. Oeps.

Nu sta je voor een groot probleem, of niet? Hier komt de verwerkersovereenkomst om de hoek kijken.

Dit klinkt als saai juridisch geneuzel, maar het is eigenlijk je belangrijkste beschermingsvest tegen digitale ongelukken.

Laten we dit helder uitleggen, zonder ingewikkelde jargon. Want als je begrijpt hoe dit werkt, slaap je een stuk rustiger.

De verwerkersovereenkomst: even de basis

Een verwerkersovereenkomst (vaak afgekort als VOA) is een contract tussen jou en een leverancier die persoonsgegevens voor je verwerkt. Je bent zelf de 'verantwoordelijke'. Dat betekent dat jij bepaalt welke gegevens er verzameld worden en waarom.

De leverancier is de 'verwerker'. Die voert alleen de handelingen uit die jij opdraagt.

Denk aan een CRM-systeem zoals HubSpot, een cloudopslag als Microsoft Azure of een betaaldienst als Adyen. Zij hebben toegang tot jouw klantdata.

De verwerkersovereenkomst legt vast hoe ze met die gegevens om moeten gaan. Zonder deze afspraken mag een leverancier eigenlijk niet aan de slag. Onder de AVG (Algemene Verordening Gegevensbescherming) is deze overeenkomst zelfs verplicht zodra er sprake is van persoonsgegevens.

Waarom is dit zo belangrijk bij een datalek?

Stel, het gebeurt echt. Er is een lek bij je leverancier.

Misschien is hun server gehackt, of is er per ongeluk een database opengezet.

Jij bent als eerste verantwoordelijk voor de schade en de meldplicht. Je moet namelijk aantonen dat je alles goed geregeld had. De verwerkersovereenkomst is hierbij je reddingsboei.

Deze overeenkomst bepaalt namelijk dat de leverancier verplicht is om direct actie te ondernemen bij een incident. Ze mogen dit niet stilhouden. Zodra ze een lek ontdekken, moeten ze jou daarover informeren. Vaak staat er in de afspraken een specifieke termijn, bijvoorbeeld binnen 72 uur, wat overeenkomt met de meldplicht onder de AVG. Als ze hier te laat mee zijn, overtreden ze de afspraak en kunnen ze aansprakelijk worden gesteld.

Wat staat er precies in een goede verwerkersovereenkomst?

Een goede overeenkomst is niet zomaar een PDF-tje dat je even snel ondertekent. Het bevat heldere afspraken die jou beschermen. Hier zijn de belangrijkste elementen:

Beveiligingsmaatregelen

De leverancier moet technische maatregelen nemen om data te beschermen. Denk aan versleuteling (encryptie), sterke toegangscontroles en regelmatige back-ups.

Meldplicht en samenwerking

In de overeenkomst staat vaak een minimumniveau van beveiliging. Als een leverancier slordig omgaat met beveiliging en daardoor een lek ontstaat, zijn zij in overtreding.

Subverwerkers

Zoals gezegd, moet de leverancier jou direct waarschuwen bij een lek. Maar het gaat verder: ze moeten ook meewerken aan het onderzoek. Jij moet kunnen uitzoeken wat er precies is misgegaan en binnen welke termijn je een datalek moet melden en welke gegevens zijn blootgesteld.

Zonder medewerking van de leverancier zit je in een moeilijke positie. Veel leveranciers gebruiken zelf weer andere partijen.

Aansprakelijkheid en boetes

Bijvoorbeeld een e-maildienst die servers huurt bij Amazon Web Services. In de verwerkersovereenkomst staat dat de leverancier niet zomaar derden mag inschakelen. Ze moeten jouw toestemming hebben of een vergelijkbare overeenkomst hebben met die subverwerker. Zo blijft de keten beveiligd.

Als er een lek ontstaat door schuld van de leverancier, kunnen zij aansprakelijk worden gesteld. De overeenkomst bepaalt vaak hoe hoog de schadevergoeding kan zijn. Hoewel de leverancier niet de volledige AVG-boete van de toezichthouder hoeft te betalen (die blijft bij jou als verantwoordelijke), kunnen ze wel degelijk financieel worden aangepakt voor hun eigen fouten.

Hoe beschermt dit jou concreet?

Laten we dit vertalen naar een praktijkvoorbeeld. Je gebruikt een marketingtool voor je nieuwsbrief.

De tool heeft een lek en duizenden e-mailadressen en namen zijn gestolen. Zonder verwerkersovereenkomst weet je niet hoe de leverancier hiermee omgaat. Misschien horen ze het je pas maanden later, of doen ze niets.

  • De leverancier meldt het lek binnen 72 uur bij jou.
  • Je krijgt direct details: wat voor gegevens, hoe groot is de schade, en welke stappen zijn genomen.
  • Je kunt snel handelen: je informeert je klanten en de Autoriteit Persoonsgegevens op tijd, wat hoge boetes voorkomt.
  • De leverancier is verplicht om te helpen bij het herstel, bijvoorbeeld door extra beveiliging toe te voegen.

Met een goede overeenkomst weet je: Kortom: de overeenkomst zorgt voor transparantie en snelle actie.

Dit beperkt de schade voor jouw bedrijf en je reputatie.

Wat als de leverancier de overeenkomst negeert?

Het kan voorkomen dat een leverancier zich niet houdt aan de afspraken. Misschien melden ze een lek te laat of weigeren ze informatie te geven.

In dat geval kun je stappen ondernemen. Ten eerste: stop met de samenwerking. Als de beveiliging niet op orde is, moet je soms zelf een datalek melden bij de Autoriteit Persoonsgegevens.

Ten tweede: je kunt schadevergoeding eisen. Een juridisch conflict is vervelend, maar de verwerkersovereenkomst geeft je een stevige onderhandelingspositie.

Bij ernstige overtredingen kun je ook de Autoriteit Persoonsgegevens inschakelen. Zij kunnen boetes opleggen aan de leverancier, vooral als blijkt dat ze willens en wetens de regels hebben genegeerd. Zonder goede overeenkomst sta je echter zwakker, omdat je niet kunt aantonen dat je duidelijke eisen had gesteld. Vergeet ook niet te kijken naar wat de rechten van klanten zijn bij een datalek.

Hoe regel je dit praktisch?

Je hoeft geen jurist te zijn om een verwerkersovereenkomst te regelen. De meeste grote leveranciers bieden standaardcontracten aan.

Bijvoorbeeld Google Workspace, Salesforce of Shopify hebben kant-en-klare documenten. Lees deze wel even door. Let op of ze voldoen aan de AVG-eisen.

Als je met kleinere partijen werkt, of maatwerkoplossingen, moet je zelf een overeenkomst opstellen. Gebruik dan een sjabloon van een betrouwbare bron, zoals een juridisch platform of een adviseur.

  • Hoe beveiligen jullie mijn data?
  • Wat doen jullie bij een datalek?
  • Wie zijn jullie subverwerkers?
  • Hoe lang bewaren jullie mijn gegevens?

Zorg dat je de volgende vragen stelt: Antwoorden op deze vragen horen thuis in de overeenkomst.

Teken niet voordat dit helder is.

Veelvoorkomende valkuilen

Een valkuil is dat bedrijven de overeenkomst te licht opnemen. Ze tekenen zonder lezen, of ze kiezen een leverancier zonder goede afspraken.

Dit kan duur uitpakken bij een lek. Een andere valkuil is het vergeten van subverwerkers. Als jouw leverancier zonder toestemming een derde inschakelt, verlies je controle over je data.

Ook belangrijk: vernieuw de overeenkomst als er iets verandert. Als je leverancier overstapt op nieuwe software of een andere dienstverlening, check dan of de afspraken nog kloppen.

Conclusie

Een verwerkersovereenkomst is meer dan een formaliteit; het is een essentieel onderdeel van je dataveiligheid. Bij een datalek bij een leverancier zorgt het voor snelle melding, duidelijke verantwoordelijkheden en een betere bescherming van je bedrijf.

Je voorkomt chaos en hoge boetes door simpelweg goede afspraken te maken.

Dus, voordat je weer een nieuwe tool of dienst inschakelt: check of er een verwerkersovereenkomst is. Lees 'm, begrijp 'm en teken alleen als je er vertrouwen in hebt. Zo blijf je zelf de baas over je data, ook als je samenwerkt met anderen.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →