Stel je voor: je hebt een gloednieuwe e-mailmarketingtool gevonden. Helemaal perfect. De sjablonen zien er strak uit, de automatiseringen zijn super slim en je lijst met abonnees staat te trappelen om jouw nieuwsbrieven te ontvangen.
▶Inhoudsopgave
Je klikt op ‘Aan de slag’ en scant snel de voorwaarden. Vinkje, vinkje, en nog een vinkje. Klaar! Of toch niet?
Hier zit ‘m ‘m de crux: wanneer je persoonsgegevens verwerkt – en dat doe je met elke nieuwsbriefabonnee – ben je wettelijk verplicht een verwerkersovereenkomst (VAV) af te sluiten. Ja, ook met die ene coole e-mailtool uit de VS of welk land dan ook. Dit document is je juridische vangnet.
Zonder goede afspraken loop je risico’s, en die wil je niet. Geen paniek.
Een verwerkersovereenkomst klinkt saaier dan een Excel-lijst zonder eind, maar het is essentieel voor je bedrijf. Laten we eens kijken wat je echt moet controleren voordat je op ‘verzenden’ drukt. Dit is jouw checklist, uitgelegd zonder ingewikkeld juridisch jargon.
Waarom die overeenkomst überhaupt nodig is
Stel je even voor: jij bent de ‘verantwoordelijke’. Jij bepaalt wie er in je mailinglist komt en wat er in die nieuwsbrief staat.
De e-mailmarketingtool is de ‘verwerker’. Zij draaien de server aan en uit en slaan de data op. Omdat zij jouw data aanraken, moet er een contract zijn dat regelt hoe ze daarmee omgaan.
Dit is een directe eis van de Algemene Verordening Gegevensbescherming (AVG). Als er iets misgaat bij de tool – bijvoorbeeld een datalek – en er is geen goede overeenkomst, ben jij als bedrijf zijnde de klos.
Je moet kunnen aantonen dat je goede afspraken hebt gemaakt. De verwerkersovereenkomst is het bewijsstuk dat je je verantwoordelijkheid hebt genomen.
De 5 onmisbare punten in je verwerkersovereenkomst
Veel e-mailmarketingtools zoals Mailchimp, ActiveCampaign of MailBlue hebben standaardmodellen klaarliggen. Handig, maar vertrouw niet blindelings op het ‘download’-knopje.
1. Doelbinding: Wat mag de tool met mijn data?
Je moet weten wat er in staat. Hier zijn de vijf belangrijkste punten die je moet scannen. Een verwerkersovereenkomst moet duidelijk maken waarvoor de data wordt gebruikt.
In gewoon Nederlands: de e-mailtool mag jouw klantgegevens alleen gebruiken voor het versturen van je nieuwsbrieven. Punt uit.
2. Beveiligingsmaatregelen: Hoe veilig is het?
De tool mag deze data niet zomaar gebruiken voor hun eigen doeleinden, zoals het verbeteren van hun eigen algoritmes of het verkopen van je gegevens aan derden. Controleer of de overeenkomst expliciet vermeldt dat de data alleen wordt gebruikt voor de dienstverlening aan jou. Als er vage clausules staan over ‘doeleinden van derden’ of ‘statistieken delen’, moet je oppassen.
Het is niet de bedoeling dat iedereen zomaar kan inloggen op de server van je e-mailtool. De verwerkersovereenkomst moet beschrijven welke technische en organisatorische maatregelen de tool treft.
3. Subverwerkers: Wie mag er nog meer aan je data komen?
Denk aan versleuteling (SSL/TLS), firewalls en toegangscontroles. Je hoeft geen IT-expert te zijn om dit te begrijpen.
De overeenkomst moet simpelweg beschrijven dat de data veilig is. Staat er iets vaags als ‘wij nemen passende maatregelen’ zonder specifieke voorbeelden? Vraag dan om een specifiekere omschrijving. Een goed contract noemt beveiligingsniveaus die aansluiten bij het risico.
Wist je dat je e-mailmarketingtool waarschijnlijk niet alle servers zelf beheert? Ze huren vaak ruimte bij cloudproviders zoals Amazon Web Services (AWS) of Google Cloud.
4. Meldplicht bij datalekken: De seintje-tijd
Deze partijen zijn subverwerkers. Je moet weten wie deze partijen zijn. Ook in een verwerkersovereenkomst met je boekhoudsoftware moet een clausule staan over subverwerkers.
Er moet staan dat de tool jou op de hoogte brengt als ze een nieuwe subverwerker inschakelen. Je moet dan bezwaar kunnen maken (hoewel dat in de praktijk bij grote cloudpartijen lastig is, is het recht wel belangrijk).
Zonder deze afspraak weet je niet waar je data fysiek staat. Er is een datalek. Paniek! Wie belt er als eerste?
De verwerkersovereenkomst bepaalt hoe snel jouw e-mailtool jou moet inlichten. Volgens de AVG moet dit binnen 72 uur gebeuren nadat het lek is ontdekt.
5. Duur en beëindiging: Wat gebeurt er na opzegging?
Check of de overeenkomst deze termijn expliciet noemt. Sommige tools geven je 48 uur, anderen 72 uur. Hoe sneller, hoe beter, want jij moet je abonnees en de toezichthouder (de Autoriteit Persoonsgegevens) informeren.
Als er in het contract staat dat ze ‘binnen een redelijke termijn’ melden, is dat te vaag. Vraag om een harde deadline.
Je stopt met die ene e-mailtool omdat je een betere hebt gevonden. Top.
Maar wat gebeurt er met je data? De verwerkersovereenkomst moet regelen dat de tool je data retourneert of vernietigt zodra de samenwerking stopt. Let op: sommige tools wissen je data meteen na beëindiging van het contract, anderen bewaren het nog een tijdje. Check of de overeenkomst bepaalt dat de tool na beëindiging alle data (inclusief back-ups) definitief verwijdert. Je wilt niet dat je klantgegevens jarenlang op een server blijven rondslingeren zonder dat jij er toegang toe hebt. Vergeet ook niet om een verwerkersovereenkomst met je websitehosting goed in te regelen.
Specifieke valkuilen bij bekende e-mailtools
Elke tool heeft zijn eigen valkuilen. Laten we er een paar bekijken zonder te veel technisch te worden.
Bij Mailchimp staan de standaardvoorwaarden vaak online. Let op: Mailchimp is Amerikaans.
Omdat de VS geen adequaat beschermingsniveau heeft volgens de EU, moet je controleren of ze werken met de EU-US Data Privacy Framework (DPF) of Standard Contractual Clauses (SCC’s). Zonder deze clausules mag je hun dienst niet zomaar gebruiken. Bij ActiveCampaign of MailBlue (die laatste is de Europese variant) zit het vaak wel goed, maar check altijd of de overeenkomst verwijst naar de nieuwste AVG-regels.
Soms staan er nog oude referenties in naar de Wet Bescherming Persoonsgegevens (Wbp), wat niet meer geldig is. Bij tools die gebruikmaken van Amazon AWS of Google Cloud als backend, controleer dan de subverwerkerslijst. Grote techreuzen zijn veilig, maar je wilt wel weten dat je data bijvoorbeeld in een Europees datacenter staat (bijvoorbeeld in Ierland of Frankfurt) en niet zomaar in de VS.
Hoe check je dit in de praktijk?
Je hoeft geen advocaat in te huren om dit te controleren. Volg deze stappen:
- Download de overeenkomst: Vaak vind je deze onder ‘Juridisch’, ‘AVG’ of ‘Privacy’ in de instellingen van je e-mailtool.
- Zoek de sleutelwoorden: Gebruik Ctrl+F (of Command+F) om te zoeken naar termen als ‘subverwerker’, ‘datalek’, ‘beveiliging’ en ‘beëindiging’.
- Check de dataopslag: Waar staan de servers? Is dit Europa of de VS?
- Vraag om hulp bij twijfel: Als je er niet uitkomt, stuur een mailtje naar de support van de tool. Vraag: ‘Kunnen jullie uitleggen hoe jullie omgaan met subverwerkers?’ Een goed bedrijf antwoordt helder.
Is de overeenkomst te vaag of niet aanwezig? Overweeg dan om een andere tool te kiezen. Je privacy is het waard.
Conclusie: Neem de tijd voor het papierwerk
Een verwerkersovereenkomst voelt als een obstakel voordat je eindelijk die mooie nieuwsbrief de wereld in kunt slingeren.
Maar het is je beste verzekering. Het zorgt ervoor dat je weet waar je data is, wie erbij kan en wat er gebeurt als er iets misgaat. Neem even de tijd om deze punten te checken voordat je akkoord gaat.
Het voorkomt slapeloze nachten als er ooit iets fout gaat. En onthoud: een goede e-mailmarketingtool helpt je niet alleen groeien, maar beschermt ook je klanten. Kies voor zekerheid, dan kun jij je focussen op wat echt telt: het schrijven van die ene perfecte nieuwsbrief.