Verwerkersovereenkomst: wat is het en wanneer heb je er een nodig?
Zodra je een externe partij inschakelt die voor jou persoonsgegevens verwerkt, denk aan een clouddienst, een boekhouder of een marketingbureau, vraagt de AVG dat je daar afspraken over maakt in een verwerkersovereenkomst. Veel ondernemers weten niet dat ze die nodig hebben, of hebben ze nooit geregeld, terwijl ze in de praktijk met allerlei van zulke partijen werken. Het is een van de meer technische kanten van de AVG, maar wel een belangrijke, omdat je verantwoordelijk blijft voor gegevens die een ander namens jou verwerkt.
In dit artikel lees je wat een verwerkersovereenkomst is, wanneer je er een nodig hebt, en wat erin hoort. Belangrijk vooraf: dit artikel geeft algemene uitleg, geen juridisch advies. De precieze invulling en of een overeenkomst in jouw situatie nodig of voldoende is, controleer je bij een deskundige. Dit artikel helpt je begrijpen waar het om gaat en te herkennen waar je actie moet ondernemen.
Wat een verwerkersovereenkomst is
Een verwerkersovereenkomst is een overeenkomst tussen jou (de partij die bepaalt wat er met de gegevens gebeurt) en een externe partij die persoonsgegevens namens jou verwerkt. In AVG-termen ben jij de "verwerkingsverantwoordelijke" en de ander de "verwerker". De overeenkomst legt vast hoe die verwerker met de gegevens omgaat, zodat ook bij hem de bescherming geregeld is.
De gedachte erachter: jij blijft verantwoordelijk voor de persoonsgegevens, ook als een ander ze namens jou verwerkt. De verwerkersovereenkomst zorgt ervoor dat die verantwoordelijkheid wordt doorvertaald in concrete afspraken met de partij die het werk doet. Zo blijft de keten van bescherming gesloten.
Wanneer je er een nodig hebt
De kern is: je hebt een verwerkersovereenkomst nodig wanneer een externe partij persoonsgegevens verwerkt namens jou, volgens jouw instructies, zonder dat ze die gegevens voor hun eigen doelen gebruiken. Een paar typische voorbeelden waarin dit speelt:
Clouddiensten en software waar jouw klant- of personeelsgegevens in staan. De aanbieder verwerkt die gegevens namens jou.
Een boekhouder of administratiekantoor dat persoonsgegevens van jouw bedrijf verwerkt.
Een ICT-beheerder of hostingpartij die toegang heeft tot systemen met persoonsgegevens.
Een marketingbureau of mailingdienst dat met jouw klantgegevens werkt.
Er is een belangrijk onderscheid. Als een partij de gegevens alleen namens jou en volgens jouw instructies verwerkt, is het een verwerker en heb je een verwerkersovereenkomst nodig. Verwerkt een partij gegevens voor haar eigen doelen en bepaalt ze zelf wat ermee gebeurt, dan ligt de relatie anders en gelden andere afspraken. Dat onderscheid is niet altijd makkelijk te maken, en juist daar kan deskundig advies helpen.
Wat erin hoort
Een verwerkersovereenkomst legt de afspraken vast die de AVG verlangt. In grote lijnen gaat het om:
Wat er verwerkt wordt en waarom. Welke persoonsgegevens de verwerker namens jou verwerkt, en voor welk doel.
Dat de verwerker alleen op jouw instructie handelt. De verwerker gebruikt de gegevens niet voor eigen doelen, maar alleen zoals jij aangeeft.
Beveiliging. Welke maatregelen de verwerker neemt om de gegevens te beschermen.
Hulp bij verplichtingen. Dat de verwerker je helpt om aan je eigen AVG-verplichtingen te voldoen, bijvoorbeeld bij verzoeken van betrokkenen of bij een datalek.
Datalekken melden. Dat de verwerker je informeert als er bij hem een datalek is, zodat jij kunt handelen. Zie Datalek melden.
Inschakelen van anderen. Onder welke voorwaarden de verwerker zelf weer andere partijen mag inschakelen.
Wat er na afloop gebeurt. Wat er met de gegevens gebeurt als de samenwerking eindigt: teruggeven of verwijderen.
Hoe je dit praktisch aanpakt
Goed nieuws voor het MKB: in de praktijk bieden veel professionele leveranciers, zeker grotere clouddiensten, standaard een verwerkersovereenkomst aan. Je hoeft die vaak niet zelf op te stellen, maar wel te regelen dat hij er is en te controleren of hij de afspraken dekt. Een praktische aanpak:
Breng in kaart welke partijen voor jou persoonsgegevens verwerken. Loop je leveranciers en diensten na: wie heeft toegang tot of verwerkt jouw persoonsgegevens? Dit overzicht is je startpunt.
Controleer of er een verwerkersovereenkomst is. Voor elke verwerker: is er een overeenkomst, en dekt die de afspraken? Bij veel grote aanbieders is er standaard een, soms moet je hem actief regelen of accepteren.
Regel wat ontbreekt. Waar een overeenkomst ontbreekt, vraag je erom of regel je er een. Bij kleinere partijen die er niet standaard een hebben, kan dit om een gesprek vragen.
Laat bij twijfel controleren. Of een overeenkomst nodig is, en of een aangeboden overeenkomst voldoende is, kan lastig te beoordelen zijn. Bij twijfel helpt een privacydeskundige.
Veelgestelde vragen
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een overeenkomst tussen jou en een externe partij die persoonsgegevens namens jou verwerkt, bijvoorbeeld een clouddienst of boekhouder. Jij bepaalt wat er met de gegevens gebeurt (de verantwoordelijke), de ander voert het uit (de verwerker). De overeenkomst legt vast hoe die verwerker met de gegevens omgaat, zodat de bescherming ook bij hem geregeld is. Zo blijft de keten van bescherming gesloten.
Wanneer heb ik een verwerkersovereenkomst nodig?
Wanneer een externe partij persoonsgegevens namens jou verwerkt, volgens jouw instructies, zonder ze voor eigen doelen te gebruiken. Typische voorbeelden zijn clouddiensten en software waarin jouw klant- of personeelsgegevens staan, een boekhouder, een ICT-beheerder met toegang tot systemen, of een marketingbureau dat met je klantgegevens werkt. Verwerkt een partij gegevens voor haar eigen doelen, dan ligt de relatie anders.
Moet ik de verwerkersovereenkomst zelf opstellen?
Meestal niet. Veel professionele leveranciers, zeker grotere clouddiensten, bieden standaard een verwerkersovereenkomst aan. Je hoeft die vaak niet zelf te schrijven, maar wel te regelen dat hij er is en te controleren of hij de afspraken dekt. Soms moet je hem actief accepteren of opvragen. Bij kleinere partijen zonder standaardovereenkomst kan het om een gesprek vragen.
Wat moet er in een verwerkersovereenkomst staan?
In grote lijnen: welke gegevens worden verwerkt en waarom, dat de verwerker alleen op jouw instructie handelt, welke beveiligingsmaatregelen er gelden, dat de verwerker je helpt aan je AVG-verplichtingen te voldoen, dat hij datalekken bij je meldt, onder welke voorwaarden hij anderen mag inschakelen, en wat er met de gegevens gebeurt als de samenwerking eindigt. Dit zijn de afspraken die de AVG verlangt.
Is dit juridisch advies?
Nee. Dit artikel geeft algemene uitleg om je te helpen herkennen wanneer je een verwerkersovereenkomst nodig hebt en wat erin hoort, geen juridisch advies. Of een overeenkomst in jouw situatie nodig of voldoende is, en de precieze invulling ervan, controleer je bij een privacydeskundige. Gebruik dit artikel om de juiste partijen in kaart te brengen en goed voorbereid te regelen wat nodig is.
---