Verwerkersovereenkomsten leveranciers

Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop

Eva de Vries Eva de Vries
· · 8 min leestijd

Stel je voor: je hebt een te gekke webshop, de bestellingen stromen binnen en je klanten zijn blij. Maar dan is er die leverancier die jouw producten verpakt en verstuurt.

Inhoudsopgave
  1. Waarom heb je deze overeenkomst echt nodig?
  2. Wie zijn wie? De partijen in de overeenkomst
  3. De kern van de zaak: Doel en omvang van de verwerking
  4. Technische en organisatorische maatregelen (TOM)
  5. De verplichtingen van je leverancier
  6. Subverwerkers: Wie mag er nog meer meekijken?
  7. Gegevens buiten de EU?
  8. De duur van de overeenkomst
  9. Praktisch concept: Een modeltekst voor jouw webshop
  10. Waarop letten bij het tekenen?
  11. Conclusie

Handig, maar er zit een addertje onder het gras: je geeft hem of haar toegang tot persoonsgegevens van jouw klanten. Namen, adressen, mailtjes.

Omdat je in Nederland zit, moet je je houden aan de AVG (Algemene Verordening Gegevensbescherming). Om alles veilig en legaal te houden, heb je een verwerkersovereenkomst nodig. Geen zorgen, dit klinkt ingewikkelder dan het is.

In dit artikel lees je niet alleen waarom dit nodig is, maar geef ik je ook een helder, simpel concept dat je direct kunt gebruiken. Laten we meteen de mythe doorprikken: een verwerkersovereenkomst is niet alleen voor de grote jongens zoals Bol.com of Coolblue.

Ook als je als ZZP’er of kleine onderneming producten laat verzenden door een externe partij, ben je verplicht om dit contractueel vast te leggen. Zonder deze overeenkomst loop je het risico op een flinke boete van de Autoriteit Persoonsgegevens. En dat wil je niet. In dit artikel schrijf ik een concept dat je kunt gebruiken voor jouw webshop, specifiek gericht op de Nederlandse markt en geschreven in begrijpelijk taal.

Waarom heb je deze overeenkomst echt nodig?

Als webshopeigenaar ben jij de ‘verantwoordelijke’ voor de data van je klanten. Je leverancier of fulfilmentpartner is de ‘verwerker’.

Zij mogen die data alleen gebruiken om hun werk te doen: het verpakken en versturen van je bestellingen. Ze mogen er niets anders mee doen, zoals je klanten ongevraagd mailen met hun eigen aanbiedingen. De verwerkersovereenkomst legt deze afspraken vast.

Het is een juridisch veiligheidsnet. Stel dat er iets misgaat, bijvoorbeeld een datalek bij je leverancier.

Dan moet er duidelijk zijn wie wat doet en wie aansprakelijk is. Zonder contract sta je met lege handen. Bovendien eisen veel betaalproviders en verzekeraars zo’n overeenkomst voordat ze met je in zee gaan. Het is dus niet alleen een wettelijke plicht, maar ook een standaard zakelijk document.

Wie zijn wie? De partijen in de overeenkomst

Voordat we de inhoud induiken, moet je weten wie de hoofdrolspelers zijn.

Jij: De verantwoordelijke

In de meeste gevallen ben jij de verantwoordelijke en is je leverancier de verwerker. Dit ben jij, de eigenaar van de webshop. Jij bepaalt welke gegevens er verzameld worden en met welk doel. Denk aan de naam en het adres van de klant, maar ook aan betaalgegevens via partijen zoals Mollie of Stripe.

Je leverancier: De verwerker

Jij bent uiteindelijk verantwoordelijk naar de klant en de wet. Dit is de partij die in opdracht van jou werkt.

Subverwerkers

Dit kan een fulfilmentbedrijf zijn, een drukkerij die je merchandise verstuurt, of een IT-bedrijf dat je voorraad beheert.

Zij verwerken de data, maar mogen er niets mee doen buiten de afspraken om. Soms schakelt je leverancier weer iemand anders in, bijvoorbeeld een vervoerder zoals PostNL of DHL. Dit zijn subverwerkers. In de overeenkomst moet staan dat je leverancier dit mag doen, maar dat ze erop toezien dat deze partijen ook veilig met de data omgaan.

De kern van de zaak: Doel en omvang van de verwerking

Een goede overeenkomst is scherp over wat er precies gebeurt met de data. Je wilt geen vage omschrijvingen.

De leverancier mag de persoonsgegevens alleen gebruiken voor de doelen die jij hebt vastgelegd. Voor een kleine webshop ziet dit er vaak zo uit: Belangrijk: De leverancier mag deze gegevens niet gebruiken voor eigen marketing.

  • Orderverwerking: Het verwerken van bestellingen inclusief adresgegevens voor verzending.
  • Betaling: Het doorsturen van betaalgegevens naar betaalproviders (indien van toepassing).
  • Klantenservice: Het beantwoorden van vragen over de bestelling (bijvoorbeeld via een ticketsysteem).
  • Voorraadbeheer: Het bijhouden van welke producten nog op voorraad zijn.

Stuur je leverancier zomaar een nieuwsbrief naar je klanten? Dan is dat een overtreding.

Technische en organisatorische maatregelen (TOM)

Het klinkt technisch, maar het is gewoon een fancy term voor ‘veiligheid’.

  • Beveiligde verbindingen: Gebruik van SSL-certificaten en versleutelde data-overdracht.
  • Toegangscontrole: Niet iedere medewerker bij de leverancier hoeft toegang tot alle klantgegevens. Beperk de toegang tot wat nodig is.
  • Back-ups: Regelmatige back-ups van de data om verlies te voorkomen.
  • Fysieke beveiliging: Als de leverancier fysieke orderlijsten bewaart, moeten deze in een gesloten ruimte liggen.

Je leverancier moet maatregelen nemen om de data te beschermen. Denk aan: Voor een kleine webshop hoef je geen militaire beveiliging te eisen, maar basisveiligheid is essentieel. Vraag je leverancier gerust naar hun beveiligingsbeleid.

De verplichtingen van je leverancier

Naast het veilig bewaren van data, heeft je leverancier nog meer plichten. Deze moet je duidelijk opnemen in de overeenkomst:

  • Meldplicht: Als er een datalek plaatsvindt (bijvoorbeeld een gestolen laptop met klantgegevens), moet de leverancier jou direct informeren. Wettelijk gezien moet dit binnen 72 uur.
  • Vertrouwelijkheid: Medewerkers van de leverancier moeten een geheimhoudingsverklaring tekenen.
  • Verwijdering: Als de samenwerking stopt, moeten alle klantgegevens worden gewist of anoniem gemaakt. Je wilt niet dat je klantdata jarenlang bij een oude leverancier blijft rondslingeren.
  • Medewerking bij controles: Jij hebt als webshop eigenaar de plicht om na te gaan of je leverancier zich aan de afspraken houdt. De leverancier moet hierbij meewerken.

Subverwerkers: Wie mag er nog meer meekijken?

Zoals eerder gezegd, je leverancier werkt waarschijnlijk samen met derde partijen. Denk aan PostNL, DHL, of een IT-partij voor de opslag in de cloud.

In de overeenkomst staat dat de leverancier deze partijen mag inschakelen, mits ze eenzelfde niveau van beveiliging bieden.

In de praktijk betekent dit dat de leverancier een contract met deze subverwerkers moet sluiten dat lijkt op deze verwerkersovereenkomst. Jij hoeft niet voor elke vervoerder apart een contract te tekenen, maar je moet wel weten wie de subverwerkers zijn. Een transparante leverancier geeft je een lijst met namen van partijen waarmee ze samenwerken.

Gegevens buiten de EU?

De Europese privacywetgeving is streng. Als je leverancier gegevens verwerkt buiten de Europese Economische Ruimte (EER), moet er extra aandacht zijn voor de veiligheid. Veel webshops werken met partijen die servers gebruiken in de Verenigde Staten.

Dit mag, maar alleen als het land een ‘adequaatheidsbesluit’ heeft (zoals het EU-VS Privacy Shield, hoewel dit juridisch soms wankelt) of als er standaardcontractbepalingen (SCC’s) worden gebruikt.

Vraag hier altijd naar. Als je een Nederlandse webshop hebt en je leverancier stuurt data naar een server in India zonder waarborgen, is dat een overtreding.

De duur van de overeenkomst

Een verwerkersovereenkomst voor je boekhouder is vaak een ‘langer lopend’ contract. Hij treedt in werking op een bepaalde datum en loopt vaak zolang als de samenwerking duurt.

Zorg dat er een clausule in staat dat de overeenkomst automatisch stopt als de samenwerking stopt.

Uiteraard met de afspraak dat de data dan wordt vernietigd. Je kunt de overeenkomst tussentijds wijzigen, maar dat moet altijd schriftelijk gebeuren. Stuur dus geen appje naar je leverancier met "is het goed als we dit aanpassen?", maar maak een officiële bijlage bij de overeenkomst.

Praktisch concept: Een modeltekst voor jouw webshop

Hieronder vind je een vereenvoudigde structuur die je kunt gebruiken als basis. Kopieer deze niet klakkeloos, maar pas het aan op jouw situatie.

Verwerkersovereenkomst

Partijen:
Verantwoordelijke: [Jouw Webshop Naam], KvK-nummer [nummer], gevestigd te [Adres].
Verwerker: [Naam Leverancier], KvK-nummer [nummer], gevestigd te [Adres].

Artikel 1: Doel van de verwerking

De verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de verantwoordelijke ten behoeve van: orderverwerking, verzending, facturatie en klantenservice. De volgende categorieën gegevens worden verwerkt:
- NAW-gegevens (naam, adres, woonplaats)
- Contactgegevens (telefoonnummer, e-mailadres)
- Bestelgeschiedenis
- Betaalgegevens (indien nodig voor de verwerking) De verwerker treft passende maatregelen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.

Artikel 2: Type persoonsgegevens

Denk aan:
- Versleuteling van data (SSL).
- Toegangsbeveiliging (wachtwoorden, tweefactorauthenticatie).
- Regelmatige back-ups. Bij een datalek informeert de verwerker de verantwoordelijke binnen 24 uur.

Artikel 3: Technische en organisatorische maatregelen

De verwerker helpt bij het opstellen van de melding aan de Autoriteit Persoonsgegevens indien nodig. De verwerker mag gebruikmaken van subverwerkers (zoals vervoerders). De verwerker draagt er zorg voor dat deze subverwerkers dezelfde verplichtingen aangaan. Een actuele lijst van subverwerkers is op te vragen bij de verwerker.

Artikel 4: Meldplicht

Deze overeenkomst geldt zolang de samenwerking duurt. Na beëindiging worden alle persoonsgegevens vernietigd of anoniem gemaakt, tenzij een wettelijke bewaarplicht (zoals de fiscale bewaarplicht van 7 jaar voor facturen) zich daartegen verzet.

Artikel 5: Subverwerkers

De verantwoordelijke heeft het recht om te controleren of de verwerker zich aan de afspraken houdt. De verwerker verleent hier medewerking aan.

Artikel 6: Duur en beëindiging

Artikel 7: Toezicht en audit

Waarop letten bij het tekenen?

Voordat je het contract ondertekent, check je nog even het volgende:

  1. KvK-nummers: Controleer of de gegevens van je leverancier kloppen via de Kamer van Koophandel.
  2. Transparantie: Vraag om een lijst van subverwerkers. Weet je wie er nog meer bij jouw klantdata kunnen?
  3. Aansprakelijkheid: Zorg dat er een clausule is die stelt dat de leveraansprakelijk is voor schade die ontstaat door hun fouten.
  4. Bewaartermijn: Let op de afspraken over het vernietigen van data. Fiscale data (facturen) mag je niet zomaar direct wissen, maar de adresgegevens voor verzending wel.

Conclusie

Een verwerkersovereenkomst hoeft geen dik, onleesbaar document te zijn. Voor een kleine webshop volstaat een helder contract waarin de minimale vereisten onder de AVG duidelijk staan omschreven.

Het zorgt ervoor dat je veilig zakendoet en voldoet aan de AVG. Gebruik het bovenstaande concept als startpunt, maar schakel bij twijfel altijd een juridisch expert in. Zo weet je zeker dat je webshop niet alleen leuk is, maar ook veilig en betrouwbaar.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier? Wat doe je als een leverancier weigert een verwerkersovereenkomst te tekenen?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →