Stel je voor: je hebt een geweldig bedrijf. Je verkopt gave producten of levert toffe diensten.
▶Inhoudsopgave
Je klanten vertrouwen je. Ze geven je hun naam, adres, misschien wel hun creditcardgegevens.
Dat is kostbaar spul. Nu werk je samen met andere partijen. Denk aan een bedrijf dat je website host, een boekhouder die je cijfers doet, of een marketingbureau dat je nieuwsbrieven verstuurt. Die partijen hebben ook toegang tot die gevoelige klantgegevens.
Hier komt de AVG om de hoek kijken, de Algemene Verordening Gegevensbescherming.
En specifiek: de verwerkersovereenkomst. Dit is hét document dat jouw bedrijf en die externe partij verbindt. Zonder deze afspraken loop je echt enorme risico’s. Laten we eens kijken wat er nou echt minimaal in moet staan, zonder ingewikkelde juridische taal.
De basis: Wie doet wat?
Voordat we dieper duiken, even het plaatje helder. Jij bent de ‘verantwoordelijke’.
Jij bepaalt waarom en hoe je persoonsgegevens verwerkt. De externe partij, bijvoorbeeld een cloudprovider zoals Microsoft Azure of een CRM-systeem als Salesforce, is de ‘verwerker’. Zij doen het werk, maar jij blijft de eindbaas. De verwerkersovereenkomst (vaak afgekort als DPA, Data Processing Agreement) is de wettelijke brug tussen jullie.
Het is niet vrijblijvend. Het is een must.
Wanneer heb je deze overeenkomst nodig?
Als je deze overeenkomst niet sluit terwijl je wel persoonsgegevens deelt, ben je direct in overtreding.
En dat wil je niet. Het gaat hier om de bescherming van echte mensen, jouw klanten. Je hebt een verwerkersovereenkomst nodig zodra je een andere partij inschakelt die in opdracht van jou persoonsgegevens verwerkt.
Denk aan een externe IT-beheerder, een payrollbedrijf, of zelfs een simpele nieuwsbrieftool zoals Mailchimp. Als zij gegevens aanraken die van jouw klanten zijn, is deze overeenkomst verplicht.
Zelfs als die partij in het buitenland zit, zoals in de VS, moet dit geregeld zijn. Het is de ruggengraat van je privacybeleid.
De 8 minimale eisen volgens de AVG
De AVG schrijft precies voor wat er in deze overeenkomst moet staan. Het zijn niet zomaar wat regeltjes; het zijn harde eisen.
Hier zijn de acht belangrijkste punten die je absoluut niet mag vergeten.
1. Doelen en middelen bepalen
De verwerker mag alleen doen wat jij zegt. Punt uit. In de overeenkomst moet duidelijk staan wat het doel is en welke gegevens er precies verwerkt mogen worden. Bijvoorbeeld: de hostingpartij mag alleen de gegevens opslaan die nodig zijn voor het functioneren van je website, niet meer.
Ze mogen niet ineens besluiten om je klantdata te gebruiken voor hun eigen marketing. Jij bepaalt de speelruimte, zij volgen.
2. Vertrouwelijkheid van medewerkers
De verwerker moet garanderen dat mensen die met jouw data werken, dit vertrouwelijk behandelen. Dit klinkt logisch, maar het moet expliciet in het contract staan. Denk aan medewerkers van een callcenter of een IT-supporter. Ze moeten een geheimhoudingsplicht tekenen of in ieder geval een verplichting hebben om stil te zijn over de data die ze zien.
Dit voorkomt lekken door menselijke fouten. Hoe beveiligt de partij je data?
3. Technische en organisatorische maatregelen (TOM)
Dit is een cruciaal hoofdstuk. De verwerker moet passende maatregelen nemen om data te beschermen tegen verlies of vernietiging. Denk aan versleuteling (encryptie), back-ups, en toegangscontroles.
Als je een bedrijf zoals Google Workspace gebruikt, verwacht je natuurlijk dat ze sterke beveiliging hebben. In de overeenkomst moet staan dat ze dit daadwerkelijk doen en dat ze deze maatregelen regelmatig testen.
4. Gebruik van sub-verwerkers
Het gaat niet om een simpele slot op de deur, maar om digitale veiligheid op topniveau. Stel, jouw hostingbedrijf gebruikt op hun beurt weer een server in de cloud van Amazon Web Services (AWS). Dat zijn sub-verwerkers. Dit mag niet zonder jouw toestemming.
In de overeenkomst moet staan dat de verwerker jou op de hoogte brengt als ze een nieuwe partij inschakelen. Jij moet dan kunnen instemmen of bezwaar maken.
5. Jouw rechten als verantwoordelijke
Het is een keten van verantwoordelijkheid; je wilt weten wie er allemaal bij je data kan.
Jij moet de touwtjes in handen houden. De overeenkomst moet jou het recht geven om de verwerker te controleren. Dit betekent dat je mag vragen om audits of inspecties.
6. Melden van datalekken
Je hoeft niet elke week langs te gaan, maar als er een datalek is of als je twijfelt over de veiligheid, moet je kunnen checken of ze zich aan de afspraken houden. Ook moet de verwerker je helpen om te voldoen aan de wettelijke verplichtingen, zoals het recht op inzage of verwijdering van gegevens van je klanten.
Als het misgaat, moet het snel gaan. De verwerker is verplicht om jou onverwijld, maar in ieder geval binnen 72 uur, te informeren als er een datalek plaatsvindt. Een datalek is elke inbreuk op de beveiliging die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Denk aan een gehackte database of een verloren laptop.
7. De verwerker helpt bij het vernietigen of teruggeven van data
De verwerker moet niet alleen het lek melden, maar ook een beschrijving geven van de impact en de genomen maatregelen.
Zonder deze clausule loop je het risico dat je te laat bent en de Autoriteit Persoonsgegevens (AP) een boete geeft. De samenwerking stopt ooit. Misschien wissel je van provider of sluit je je bedrijf.
De verwerkersovereenkomst moet regelen dat de verwerker alle persoonsgegevens vernietigt of aan jou teruggeeft op het moment dat de overeenkomst eindigt. Ze mogen de data niet zomaar bewaren voor eigen gebruik.
8. Bewijsplicht en audits
Dit voorkomt dat er ‘spookdata’ achterblijft op servers van partijen waarmee je niets meer te maken hebt. De verwerker moet kunnen aantonen dat ze zich aan de regels houden. Dit noemen we de bewijsplicht.
In de overeenkomst staat dat ze jou alle informatie moeten geven die nodig is om te controleren of ze voldoen aan de AVG. Denk aan certificeringen of testrapporten.
Dit is belangrijk voor je eigen administratie. Als de Autoriteit Persoonsgegevens vraagt of je je zaakjes op orde hebt, kun je laten zien dat je contractueel hebt vastgelegd dat je partner veilig werkt.
Waarom dit zo belangrijk is
Waarom moeite doen met al deze regels? Omdat de AVG er is om mensen te beschermen.
Een goede verwerkersovereenkomst beschermt niet alleen je klanten, maar ook je bedrijf. Als een verwerker jouw data lekt door slordigheid, en jij hebt geen goede overeenkomst, ben je zelf mede-aansprakelijk.
Dat kan leiden tot hoge boetes, reputatieschade en een verlies van klantvertrouwen. Stel je voor dat je klanten hun gegevens niet meer vertrouwen; dat is funest voor je business. Denk aan grote bedrijven zoals Facebook of LinkedIn die regelmatig onder de loep liggen. Zij moeten kunnen aantonen dat hun partners veilig werken.
Jij moet dat ook, ook als je kleiner bent. De Autoriteit Persoonsgegevens houdt toezicht en mag boetes opleggen tot 4% van de wereldwijde jaaromzet.
Een goede verwerkersovereenkomst is je eerste verdedigingslinie.
Praktische tips voor het opstellen
Hoe pak je dit aan zonder jurist te zijn? Ten eerste, gebruik standaardcontracten.
Grote partijen zoals Microsoft, Google en Salesforce hebben vaak standaard verwerkersovereenkomsten beschikbaar op hun websites. Die voldoen meestal aan de wettelijke eisen. Zoek je een praktisch model voor je webshop? Lees de voorwaarden dan wel even goed door.
Ten tweede, sluit geen mondelinge afspraken. Alles moet op papier staan.
Ten derde, wees kritisch. Vraag je af: is deze partij betrouwbaar? Hebben ze een privacyverklaring?
Als je een klein bedrijf bent en je werkt met een lokale IT’er, vraag dan om een simpele DPA. Er zijn gratis sjablonen te vinden die je kunt aanpassen.
Maar let op: als je met complexe systemen werkt, zoals een eigen app of een grote webshop, is het verstandig om een jurist in de arm te nemen.
Het kost geld, maar het bespaart je later een hoop stress.
Veelvoorkomende valkuilen
Een veelgemaakte fout is het vergeten van sub-verwerkers. Veel bedrijven sluiten een overeenkomst met hun webhost, maar vragen niet wie die host inschakelt. Of ze vergeten de meldplicht bij datalekken.
Een andere valkuil is het niet vastleggen van de looptijd. Zorg dat de overeenkomst eindigt als de samenwerking stopt, en dat de data wordt gewist.
Ook belangrijk: de overeenkomst moet in het Nederlands of een andere duidelijke taal zijn, zodat beide partijen hem begrijpen. En vergeet niet dat de AVG geldt voor alle EU-landen. Dus als je met een Duitse of Franse partij werkt, moeten de afspraken daar ook op aansluiten.
Conclusie
Een verwerkersovereenkomst onder de AVG is geen optioneel document; het is een must-have voor iedere ondernemer die met persoonsgegevens werkt. De minimale eisen zijn helder: vastleggen wie wat doet, vertrouwelijkheid garanderen, beveiliging eisen, toestemming voor sub-verwerkers, rechten van jou als opdrachtgever, snelle melding van lekken, en het wissen van data bij einde samenwerking.
Door deze punten op te nemen, bescherm je niet alleen je klanten, maar ook je eigen bedrijf tegen risico’s. Het klinkt misschien als veel, maar het is de moeite waard. Begin met het controleren van je huidige contracten. Gebruik je cloud-diensten? Check hun voorwaarden.
Werk je samen met freelancers? Zorg voor een duidelijke verwerkersovereenkomst voor je boekhouder.
Met deze kennis sta je sterker en kun je met een gerust hart ondernemen. Want privacy is geen last, het is een kans om vertrouwen op te bouwen.