Verwerkersovereenkomsten leveranciers

Hoe houd je je verwerkersovereenkomsten up-to-date als je tools of leveranciers wisselt?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je bedrijf groeit als kool. Je team is enthousiast, de klanten zijn blij en de software vliegt je om de oren.

Inhoudsopgave
  1. Waarom is die verwerkersovereenkomst eigenlijk zo belangrijk?
  2. De valkuil van het 'snel even wisselen'
  3. Stap 1: Maak een helder overzicht van al je tools
  4. Stap 2: Check de status bij elke nieuwe aanschaf
  5. Stap 3: De overgang van oude naar nieuwe leveranciers
  6. Stap 4: Voorkom dataverlies bij overstap
  7. Stap 5: Onderhoud is een doorlopende taak
  8. Conclusie: Blijf scherp en georganiseerd

Jullie ontdekken een gave nieuwe tool die het leven makkelijker maakt. Of misschien wissel je wel van boekhoudprogramma of e-mailmarketingplatform. Super spannend! Maar terwijl iedereen druk is met de nieuwe features, sluimert er op de achtergrond een saai, maar cruciaal karweitje: je verwerkersovereenkomst.

Veel ondernemers schuiven dit onderwerp vaak naar achteren. Het voelt als bureaucratische rompslomp.

Toch is het net als het controleren van de bandenspanning van je auto; het voelt als een klusje, maar het voorkomt een enorme klap later.

In dit artikel lees je hoe je ervoor zorgt dat je juridische fundament stabiel blijft, zelfs als je elke maand wel een nieuwe tool aan je stack toevoegt.

Waarom is die verwerkersovereenkomst eigenlijk zo belangrijk?

Laten we even terug naar de basis. Een verwerkersovereenkomst (VGO) is niet zomaar een stuk papier dat je ondertekent en in een map stopt.

Het is de schriftelijke afspraak tussen jou (de verantwoordelijke) en je leverancier (de verwerker) over hoe er met persoonsgegevens wordt omgegaan. Denk aan namen, e-mailadressen of betaalgegevens van je klanten. De AVG (Algemene Verordening Gegevensbescherming) eist dit nu eenmaal.

Zonder deze overeenkomst mag een leverancier geen persoonsgegevens voor je verwerken. Het klinkt streng, maar het beschermt niet alleen je klanten, het beschermt ook jou.

Stel je voor dat een leverancier een datalek heeft en jij hebt geen goede afspraken vastgelegd. Dan sta je met lege handen. Door scherp te zijn op je contracten, voorkom je boetes en reputatieschade.

De valkuil van het 'snel even wisselen'

Het gaat vaak mis bij de overgang. Je zit in een proefperiode van een nieuwe tool, bijvoorbeeld een CRM-systeem als HubSpot of Salesforce.

Je bent enthousiast, je uploadt je klantenlijst en voor je het weet ben je live. Maar de verwerkersovereenkomst? Die heb je 'even snel' aangeklikt zonder te lezen, of erger: die is er helemaal niet omdat je dacht 'het is maar een proefaccount'. De realiteit is dat zodra je persoonsgegevens invoert, de verwerking begint. En dan moet de administratie kloppen.

Het wisselen van tools betekent niet alleen dat je oude software opzegt. Het betekent dat je de keten van verantwoordelijkheid opnieuw moet vastleggen.

Elk nieuw stukje software dat aan je data komt, is een nieuwe schakel in die keten.

En een keten is maar zo sterk als zijn zwakste schakel.

Stap 1: Maak een helder overzicht van al je tools

Je kunt je verwerkersovereenkomsten alleen up-to-date houden als je weet wat je hebt. Het klinkt logisch, maar veel bedrijven hebben geen idee welke tools er allemaal gebruikt worden. Dit heet 'shadow IT': software die door medewerkers wordt gebruikt zonder dat de IT-afdeling of het management het weet.

Pak een middag en maak een lijst. Echt een simpele Excel of Google Sheet. Schrijf op:

  • Welke tool wordt gebruikt? (bijv. Mailchimp, Slack, Google Analytics)
  • Wie is de leverancier?
  • Welke persoonsgegevens verwerkt de tool?
  • Waar staan de gegevens opgeslagen? (Europa of buiten de EU?)

Deze inventarisatie is je startpunt. Zonder overzicht werk je in het duister en loop je het risico dat een verouderde tool ongemerkt gevoelige data blijft verwerken.

Stap 2: Check de status bij elke nieuwe aanschaf

Voordat je op de 'buy'-knop drukt of een offerte ondertekent, is er één simpele vraag die je moet stellen: "Waar is jullie verwerkersovereenkomst?" De meeste grote softwarebedrijven hebben een standaard VGO op hun website staan. Bij Microsoft, Google Workspace of Adobe vind je deze vaak onder het kopje 'Juridisch' of 'Trust Center'. Vergeet ook niet om de verwerkersovereenkomst met je e-mailmarketingtool kritisch te controleren.

Maar wees scherp. Standaardcontracten zijn vaak opgesteld in het voordeel van de leverancier. Lees de kleine lettertjes. Let op:

  • Mag de leverancier subcontractors (onderaannemers) inschakelen? Zo ja, moeten ze jou daarvan op de hoogte brengen?
  • Hoe lang worden de gegevens bewaard nadat je het contract opzegt?
  • Wat gebeurt er met je data als het bedrijf wordt overgenomen door een andere partij?

Een goede verwerkersovereenkomst is duidelijk en transparant. Als een leverancier moeilijk doet of de overeenkomst niet wil aanpassen, is dat een rode vlag.

In zo’n geval moet je je afvragen of je deze partij wel wilt inschakelen.

Stap 3: De overgang van oude naar nieuwe leveranciers

Hier gebeuren de meeste fouten. Je stapt over van Leverancier A naar Leverancier B.

Je zegt Leverancier A op. Maar wat gebeurt er met de data die daar nog staat?

Veel bedrijven vergeten de opzegprocedure. Een contract opzeggen is vaak net zo belangrijk als het aangaan ervan. In je verwerkersovereenkomst moet staan dat de leverancier, na beëindiging van de samenwerking, alle persoonsgegevens veilig moet verwijderen of aan jou moet retourneren.

Stel je voor dat je overstapt van een boekhoudtool naar een nieuwe. Je exporteert je cijfers, maar vergeet de oude account te verwijderen. Die oude tool blijft dan nog jarenlang op een server staan, met jouw gegevens erop. Dat is een risico.

Check dus altijd: Naast de minimale vereisten voor een verwerkersovereenkomst is er vaak ook een Service Level Agreement (SLA).

  1. Is het oude contract echt opgezegd?
  2. Is er een bevestiging ontvangen dat de data is gewist?
  3. Is de nieuwe leverancier gebonden aan een VGO voordat de data wordt overgezet?

De waarde van een SLA

Dit is een apart document waarin de technische prestaties staan, zoals uptime. Hoewel dit anders is dan een VGO, overlappen ze soms.

Een goede leverancier heeft beide op orde. Bij tools zoals Azure of AWS zijn de voorwaarden vaak complex, maar essentieel om te begrijpen. Zorg dat je weet welk niveau van beveiliging je afneemt.

Stap 4: Voorkom dataverlies bij overstap

Wanneer je tools wisselt, is dataverwerking de grootste valkuil. Je wilt natuurlijk niet dat er tijdens de migratie gegevens kwijtraken.

Maar je wilt ook niet dat er tijdelijk 'losse' data ontstaat zonder juridische dekking. Plan je overstap zorgvuldig. Zet de nieuwe tool pas live als de verwerkersovereenkomst is getekend.

Gebruik je een cloud-oplossing zoals Dropbox of OneDrive? Dan ben je vaak afhankelijk van hun standaardvoorwaarden.

Lees deze goed door, want ze kunnen wijzigen. Als je bedrijfsgroei doorzet, kan het zijn dat je een enterprise-contract nodig hebt met extra clausules over dataprotectie.

Stap 5: Onderhoud is een doorlopende taak

Een verwerkersovereenkomst is geen 'set it and forget it' document. De digitale wereld verandert snel.

Een leverancier kan zijn beleid wijzigen, of de wetgeving verandert. Plan eens per jaar een moment in om je VGO’s te checken. Loop je lijst met tools na. Zijn er nieuwe features toegevoegd die meer data verzamelen?

Is de leverancier overgenomen door een bedrijf buiten Europa? Dan moet je misschien aanvullende maatregelen treffen, zoals een Standard Contractual Clauses (SCC) voor doorgifte van data naar derde landen.

Hou het simpel. Gebruik een kalenderherinnering. Zet een notitie in je systeem bij elke leverancier: "Contractcontrolerondje oktober".

Zo voorkom je dat zaken blijven liggen.

Conclusie: Blijf scherp en georganiseerd

Het up-to-date houden van verwerkersovereenkomsten klinkt misschien als een saaie klus, maar het is een teken van professionaliteit. Het toont aan dat je je verantwoordelijkheid neemt voor de data van je klanten.

Door een helder overzicht te maken, bij elke aanschaf kritisch te kijken en de overgang tussen systemen strak te managen, bouw je een veilig fundament. Je bent dan niet alleen compliant met de AVG, maar je loopt ook minder risico op datalekken en juridische problemen. Dus, de volgende keer dat je een nieuwe tool wilt proberen, controleer dan eerst of je leveranciers AVG-compliant zijn. Een goede verwerkersovereenkomst is de beste verzekering voor een veilige digitale toekomst van je bedrijf.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →