Overige privacy vragen

Verwerkersovereenkomsten & leveranciers (processor agreements)

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je hebt een tof softwarepakket of een dienst waar je klanten dol op zijn. Je klanten gebruiken jouw tool om hun eigen bedrijfsprocessen te runnen, inclusief de persoonsgegevens van hun klanten.

Inhoudsopgave
  1. De Kernvraag: Ben Je Een Verwerker of Niet?
  2. Wanneer Moet Je Wél een Verwerkersovereenkomst Hebben?
  3. Wat Moet Er in een Verwerkersovereenkomst Staan?
  4. Praktische Tips voor Softwareleveranciers
  5. Veelvoorkomende Valkuilen (En Hoe Ze Te Vermijden)
  6. Conclusie: Hou Het Simpel en Eerlijk

Nu vraag je je af: ben ik een verwerker? Moet ik een verwerkersovereenkomst (VAV) opstellen?

En wat als ik on-premise software lever? Diep ademhalen. We gaan dit uitzoeken, en ik beloof je: het hoeft geen rocket science te zijn.

We houden het simpel, scherp en met de nodige flair. Want privacywetgeving mag dan serieus zijn, het betekent niet dat je er hoofdpijn van moet krijgen.

De Kernvraag: Ben Je Een Verwerker of Niet?

Dit is de vraag die elke softwareleverancier bezighoudt. Vooral als je on-premise software levert.

Je medewerkers kunnen namelijk in contact komen met persoonsgegevens van de klant, bijvoorbeeld tijdens consultancy, applicatiebeheer of support (het bekende 'inbellen'). Maakt dat jou direct een Verwerker volgens de Algemene Verordening Gegevensbescherming (AVG)? De korte en krachtige antwoord: nee, meestal niet.

Laat me dat toelichten. Onder de AVG ben je pas een verwerker als je persoonsgegevens verwerkt in opdracht van een ander (de verantwoordelijke).

Bij on-premise software staat de data meestal op de servers van je klant. Jij levert de software, maar de klant bepaalt hoe en waarom de data wordt verwerkt. Je medewerkers mogen misschien even kijken om een probleem op te lossen, maar ze zijn geen 'verwerker' in de juridische zin. Ze zijn eerder een soort technische hulp in de keuken van de klant – ze helpen, maar koken niet het eten.

Echter, er is een grijze zone. Als je ondersteunende diensten aanbiedt waarbij je structureel toegang krijgt tot persoonsgegevens, zoals het beheren van een klantendatabase in de cloud, dan kan het plaatje veranderen.

Maar voor pure on-premise softwarelevering? Meestal niet nodig om een verwerkersovereenkomst te sluiten. Je klant is dan zelf de verantwoordelijke én de verwerker van hun eigen data.

Wanneer Moet Je Wél een Verwerkersovereenkomst Hebben?

Oké, we hebben gezegd dat je meestal geen verwerker bent bij on-premise software. Maar wanneer is het wel nodig? Stel je voor dat je cloud-diensten levert, zoals SaaS (Software as a Service).

Dan staan de persoonsgegevens van je klant op jouw servers of die van een derde partij.

Nu ben je wel degelijk een verwerker. Je klant is de 'verantwoordelijke' – zij bepalen welke data wordt verwerkt en waarom.

Jij bent de 'verwerker' – je voert de verwerking uit namens hen. In dit geval is een verwerkersovereenkomst verplicht. Zonder deze overeenkomst loop je risico's, zoals boetes van de Autoriteit Persoonsgegevens (AP).

En geloof me, die boetes zijn niet mals. Stel je voor: je levert een CRM-systeem in de cloud.

Praktijkvoorbeeld: Cloud vs. On-Premise

Je klant uploadt duizenden contacten. Jij bewaart die data op jouw servers. Zonder verwerkersovereenkomst ben je in overtreding. De overeenkomst regelt wie verantwoordelijk is voor wat, hoe data wordt beveiligd en wat er gebeurt bij een datalek.

Laten we het concreet maken met een voorbeeld. Stel, je bent een softwarebedrijf dat een boekhoudtool levert.

  • On-premise: Je klant installeert de software op hun eigen servers. Jij levert de licentie en eventueel ondersteuning. Je medewerkers hebben alleen toegang als de klant dat expliciet toestaat, bijvoorbeeld via een remote sessie. Geen verwerkersovereenkomst nodig, maar wel goede afspraken in je algemene voorwaarden.
  • Cloud (SaaS): Je klant logt in via jouw website. De data staat op jouw servers. Nu ben je verwerker. Een verwerkersovereenkomst is essentieel. Zorg dat deze voldoet aan de AVG-eisen, zoals het melden van datalekken binnen 72 uur.

Zie je het verschil? Bij on-premise blijft de data bij de klant.

Bij cloud bewaar jij de data. Dat is de scheidslijn.

Wat Moet Er in een Verwerkersovereenkomst Staan?

Een verwerkersovereenkomst is geen willekeurig document. Het is een essentieel onderdeel van je verwerkingsregister en documentatieplicht onder de AVG.

  • Doel van de verwerking: Wat mag je met de data doen? Alleen wat de klant heeft toegestaan.
  • Beveiligingsmaatregelen: Hoe bescherm je de data? Denk aan encryptie, toegangscontroles en back-ups. Je moet aantonen dat je maatregelen neemt die passen bij de risico's.
  • Subverwerkers: Als je een derde partij inschakelt (bijvoorbeeld een hostingprovider), moet je dat melden en toestemming vragen van je klant.
  • Datalekken: Je moet de klant onmiddellijk informeren als er een datalek is, uiterlijk binnen 72 uur.
  • Rechten van betrokkenen: Hoe help je mee aan verzoeken van mensen die hun gegevens willen inzien of verwijderen?
  • Teruggave of vernietiging: Na afloop van het contract moet je de data veilig teruggeven of vernietigen.

Denk erover na als een huurcontract voor data: je regelt de rechten en plichten van beide partijen. Hier zijn de belangrijkste elementen:

Je hoeft niet alles zelf te bedenken. Er zijn standaardmodellen beschikbaar, zoals die van de Autoriteit Persoonsgegevens of brancheorganisaties. Pas ze aan op jouw situatie.

Praktische Tips voor Softwareleveranciers

Nu je weet wanneer je een verwerkersovereenkomst nodig hebt, hier wat tips om het leven makkelijker te maken. Wees proactief, niet reactief.

1. Wees Duidelijk in Je Aanbod

Als je on-premise software levert, vermeld dat dan helder in je marketing en contracten. Geef aan dat de klant zelf verantwoordelijk is voor de data. Gebruik eenvoudige taal: "Wij leveren de software, maar u bepaalt hoe u de persoonsgegevens verwerkt."

Voor cloud-diensten: maak duidelijk dat je een verwerker bent. Bied een verwerkersovereenkomst aan bij het ondertekenen van het contract.

2. Gebruik Standaardmodellen

Niet achteraf, maar direct. Waarom het wiel opnieuw uitvinden? Organisaties zoals de Dutch Cloud Community of de AVG-Compliance Group bieden sjablonen.

3. Werk Samen met Je Klant

Ze zijn juridisch getest en voldoen aan de wet. Pas ze aan op je bedrijfsvoering, bijvoorbeeld door specifieke beveiligingsmaatregelen toe te voegen.

4. Audit Je Processen

Een verwerkersovereenkomst is een partnership. Bespreek de afspraken met je klant.

Leg uit wat je doet om data te beschermen. Dit bouwt vertrouwen op en voorkomt misverstanden. Stel vragen: "Wat zijn jullie risico's? Hoe kunnen we samen zorgen voor volledige AVG/GDPR compliance?"

5. Let op de Kleine Lettertjes

Zorg dat je interne processen op orde zijn. Heb je toegangscontroles? Een incidentenplan? Regelmatige training voor medewerkers?

Een verwerkersovereenkomst is alleen geldig als je het nakomt. Doe jaarlijks een check. Als je software levert via een marketplace zoals Microsoft Azure of AWS, controleer dan de voorwaarden van die platformen. Zij kunnen subverwerkers zijn, en je moet dat regelen in je overeenkomst.

Veelvoorkomende Valkuilen (En Hoe Ze Te Vermijden)

Privacy is geen eenmalige klus. Zo ga je als ZZP'er of klein bedrijf correct om met persoonsgegevens; dit zijn valkuilen waar veel ondernemers intrappen:

  • Denken dat on-premise altijd veilig is: On-premise betekent niet automatisch AVG-compliant. Je klant moet nog steeds maatregelen nemen, maar jij bent niet verantwoordelijk voor hun data.
  • Vergeten dat support telt: Als je remote support geeft en daarbij persoonsgegevens inziet, documenteer dan hoe je dat doet. Gebruik tools met minimale toegang.
  • Te laat met een overeenkomst: Wacht niet tot een klant erom vraagt. Integreer de verwerkersovereenkomst in je standaard verkoopproces.
  • Subverwerkers negeren: Als je gebruikmaakt van diensten zoals Google Cloud of Microsoft 365, ben je zelf een klant van een subverwerker. Zorg dat je keten sluitend is.

Conclusie: Hou Het Simpel en Eerlijk

Verwerkersovereenkomsten hoeven geen nachtmerrie te zijn. Als je on-premise software levert, ben je meestal geen verwerker – je klant is zelf verantwoordelijk.

Voor cloud-diensten is een verwerkersovereenkomst wel nodig, maar met een goed sjabloon en open communicatie kom je ver. Het draait allemaal om duidelijkheid en vertrouwen. Wees transparant over wat je doet, houd je processen op orde en werk samen met je klanten. Zo blijf je niet alleen compliant, maar bouw je ook een sterke reputatie op.

En dat is goud waard in de softwarewereld. Dus, de volgende keer dat je een klant spreekt over privacy, weet je wat te zeggen.

Geen paniek, gewoon feiten. En als je twijfelt?

Raadpleeg een juridisch expert – maar nu weet je in ieder geval de basis.

Lees ook
I'm now researching "autoriteitpersoongegevens.nl" to understand its history, backlinks, and mentions. The domain name itself strongly suggests it was related to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). Let me analyze the niche brief provided and determine the optimal sub-sub-niche. Based on the niche brief, this domain was known for privacy law and data protection in the Netherlands. The name "Autoriteit Persoonsgegevens" is literally the Dutch Data Protection Authority (AP). The domain has strong topical authority signals around: AVG/GDPR compliance Persoonsgegevens (personal data) Privacy rights
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Overige privacy vragen

Bekijk alle 19 artikelen in deze categorie.

Naar categorie →
Lees volgende
I'm now researching "autoriteitpersoongegevens.nl" to understand its history, backlinks, and mentions. The domain name itself strongly suggests it was related to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). Let me analyze the niche brief provided and determine the optimal sub-sub-niche.
Lees verder →