Formele gegevensverwerkingsovereenkomst op glazen bureau met pen en ingeperst slotje, kantoorverlichting, professionele sfeer.

Hoe schrijf je een verwerkersovereenkomst?

Een verwerkersovereenkomst opstellen doe je door schriftelijk vast te leggen welke persoonsgegevens een verwerker namens jouw organisatie verwerkt, voor welk doel, hoe lang, en welke beveiligingsmaatregelen daarbij gelden. De AVG verplicht iedere verwerkingsverantwoordelijke om zo’n overeenkomst te sluiten met elke externe partij die persoonsgegevens voor hem verwerkt. In dit artikel beantwoorden we de meest gestelde vragen over de verwerkersovereenkomst, van de verplichte inhoud tot de gevolgen van ontbrekende afspraken.

Wat moet er verplicht in een verwerkersovereenkomst staan?

Een AVG-verwerkersovereenkomst moet minimaal de volgende elementen bevatten: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke. Zonder deze elementen voldoet de overeenkomst niet aan artikel 28 van de AVG.

Naast deze basisinformatie schrijft de AVG een aantal concrete verplichtingen voor die in de overeenkomst moeten worden opgenomen. De verwerker mag persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke. Verder moet worden vastgelegd dat de verwerker:

  • passende technische en organisatorische beveiligingsmaatregelen treft;
  • medewerkers die toegang hebben tot de gegevens tot geheimhouding verplicht;
  • de verwerkingsverantwoordelijke bijstaat bij het nakomen van zijn verplichtingen jegens betrokkenen (zoals het recht op inzage of verwijdering);
  • na afloop van de dienstverlening alle persoonsgegevens verwijdert of teruggeeft;
  • de verwerkingsverantwoordelijke informeert als een instructie naar zijn mening in strijd is met de AVG;
  • alleen met toestemming van de verwerkingsverantwoordelijke subverwerkers inschakelt.

Het is verstandig ook afspraken op te nemen over hoe en wanneer de verwerker een datalek meldt, en binnen welke termijn. De AVG vereist dat een verwerkingsverantwoordelijke een datalek binnen 72 uur meldt bij de Autoriteit Persoonsgegevens. Om die termijn te halen, moet de verwerker een incident zo snel mogelijk doorgeven. Leg die verplichting expliciet vast in de privacywetgeving en contractuele afspraken.

Wanneer ben je verplicht een verwerkersovereenkomst te sluiten?

Je bent verplicht een verwerkersovereenkomst te sluiten zodra een externe partij persoonsgegevens verwerkt namens jouw organisatie, en daarbij zelf geen doel en middelen bepaalt. Dit is het geval bij vrijwel elke uitbestede dienst waarbij persoonsgegevens betrokken zijn, zoals clouddiensten, salarisadministratie, e-mailmarketing of IT-beheer.

Het onderscheid zit in de rol van de externe partij. Een verwerker verwerkt persoonsgegevens uitsluitend op instructie van jou en heeft geen zeggenschap over het doel van de verwerking. Een verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen. Wanneer je een softwareleverancier inschakelt die klantdata opslaat in jouw naam, is die leverancier een verwerker. Wanneer een accountantskantoor jouw jaarrekening opstelt en daarbij ook persoonsgegevens verwerkt voor eigen doeleinden, is er sprake van twee verwerkingsverantwoordelijken en heb je een andere overeenkomst nodig.

Praktische situaties waarin een gegevensverwerkingsovereenkomst verplicht is:

  • Gebruik van cloudopslag waarbij persoonsgegevens worden bewaard (zoals Microsoft 365 of Google Workspace);
  • Uitbesteding van HR-administratie of loonadministratie;
  • Inschakelen van een marketingbureau dat mailinglijsten beheert;
  • Gebruik van een ticketsysteem of CRM-pakket beheerd door een derde partij;
  • Inzet van een externe helpdesk die klantgegevens inziet.

De verplichting geldt ongeacht de omvang van je organisatie. Ook kleine bedrijven moeten een verwerkersovereenkomst sluiten zodra zij persoonsgegevens uitbesteden aan een derde partij.

Wat is het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst?

Een verwerkersovereenkomst en een bewerkersovereenkomst zijn inhoudelijk hetzelfde document. Het enige verschil is de naam: “bewerkersovereenkomst” is de verouderde term uit de Wet bescherming persoonsgegevens (Wbp), die in 2018 werd vervangen door de AVG. Sindsdien is de officiële term “verwerkersovereenkomst”.

Veel organisaties gebruiken beide termen nog door elkaar, maar juridisch gezien is alleen de term “verwerkersovereenkomst” correct onder de huidige Europese privacywetgeving. Een overeenkomst die nog de term “bewerkersovereenkomst” gebruikt, is niet per definitie ongeldig, maar het is aan te raden de terminologie te actualiseren zodat de overeenkomst aansluit op de huidige wet- en regelgeving en geen onduidelijkheid schept over de toepasselijke normen.

Inhoudelijk zijn de eisen ook verzwaard ten opzichte van de Wbp. De AVG stelt meer specifieke eisen aan wat er in de overeenkomst moet staan en legt meer verantwoordelijkheid bij zowel de verwerkingsverantwoordelijke als de verwerker. Een bewerkersovereenkomst die vóór 2018 werd opgesteld, voldoet daardoor vrijwel zeker niet meer aan de huidige GDPR-verwerkereisen.

Hoe stel je een verwerkersovereenkomst stap voor stap op?

Een verwerkersovereenkomst opstellen verloopt in vijf stappen: breng in kaart welke partij welke gegevens verwerkt, bepaal de rollen, beschrijf de verwerkingsactiviteiten, stel de verplichtingen vast, en laat beide partijen tekenen. Hieronder werken we elke stap uit.

  1. Identificeer de verwerker en de verwerkingsverantwoordelijke. Bepaal wie de persoonsgegevens verwerkt en in wiens opdracht. Dit vormt de basis voor de overeenkomst.
  2. Breng de verwerkingsactiviteiten in kaart. Beschrijf welke categorieën persoonsgegevens worden verwerkt, van welke betrokkenen, voor welk doel en hoe lang de gegevens worden bewaard.
  3. Formuleer de instructies. Leg vast dat de verwerker uitsluitend handelt op basis van jouw schriftelijke instructies en geen eigen doeleinden mag nastreven.
  4. Neem de verplichte bepalingen op. Voeg alle wettelijk verplichte onderdelen toe: beveiligingsmaatregelen, geheimhoudingsplicht, bijstandsverplichtingen, subverwerkers, datalekprocedure en teruggave of verwijdering van gegevens na afloop.
  5. Onderteken de overeenkomst. Zorg voor een schriftelijke of elektronische ondertekening door beide partijen. Bewaar de overeenkomst zodat je kunt aantonen dat je aan de AVG-verantwoordingsplicht voldoet.

Vergeet bij stap vier ook de subverwerkers niet. Als de verwerker andere partijen inschakelt die ook persoonsgegevens verwerken, moet de verwerker met hen een gelijkwaardige verwerkersovereenkomst sluiten. Als verwerkingsverantwoordelijke heb je het recht om hierover geïnformeerd te worden en in sommige gevallen toestemming te verlenen.

Mag je een standaard template gebruiken voor een verwerkersovereenkomst?

Ja, je mag een standaard template gebruiken als startpunt voor een verwerkersovereenkomst, maar een generiek template is zelden voldoende op zichzelf. De overeenkomst moet altijd worden aangevuld met de specifieke verwerkingsactiviteiten, de concrete beveiligingsmaatregelen en de specifieke afspraken die gelden voor jouw situatie.

Veel leveranciers bieden hun eigen standaard verwerkersovereenkomst aan, met name grote cloudleveranciers zoals Microsoft en Google. Dit is toegestaan, maar als verwerkingsverantwoordelijke blijf je verantwoordelijk voor de naleving van de AVG. Controleer daarom altijd of de aangeboden overeenkomst voldoet aan alle wettelijke eisen en of de afspraken aansluiten op jouw specifieke verwerkingssituatie.

Let bij het gebruik van een template in ieder geval op de volgende punten:

  • Is de verwerkingsomschrijving specifiek genoeg voor jouw situatie?
  • Zijn de beveiligingsmaatregelen concreet beschreven of worden ze vaag omschreven?
  • Is de procedure voor datalekmelding duidelijk en haalbaar binnen de wettelijke termijnen?
  • Zijn de regels rondom subverwerkers en doorgifte buiten de EU opgenomen?
  • Sluit de bewaartermijn aan op jouw eigen bewaarbeleid?

Een template biedt een nuttige structuur, maar maatwerk is nodig om daadwerkelijk aan de AVG te voldoen en om de overeenkomst juridisch afdwingbaar te maken.

Wat zijn de gevolgen van een ontbrekende of onvolledige verwerkersovereenkomst?

Het ontbreken van een verwerkersovereenkomst is een directe overtreding van de AVG en kan leiden tot een boete van de Autoriteit Persoonsgegevens van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bovendien loop je als organisatie een aanzienlijk juridisch en reputatierisico als er een datalek optreedt zonder dat de verantwoordelijkheden contractueel zijn vastgelegd.

Een onvolledige overeenkomst is bijna even risicovol als een ontbrekende. Als cruciale afspraken ontbreken, zoals de procedure bij datalekken of de instructies voor verwijdering van gegevens, kan dit bij een incident leiden tot onduidelijkheid over wie verantwoordelijk is, vertraging in de melding en mogelijk hogere boetes.

Naast de financiële gevolgen zijn er ook operationele risico’s. Zonder duidelijke contractuele afspraken heb je als verwerkingsverantwoordelijke minder grip op wat er met de persoonsgegevens van jouw klanten, medewerkers of relaties gebeurt. Je kunt een verwerker dan moeilijker aanspreken op naleving van beveiligingsmaatregelen of op het tijdig melden van incidenten.

De Autoriteit Persoonsgegevens controleert actief op de aanwezigheid van verwerkersovereenkomsten, zeker bij sectoren die veel persoonsgegevens verwerken. Organisaties die onder de NIS2-richtlijn vallen, lopen een dubbel risico: zowel de AVG als de NIS2 stellen eisen aan de beveiliging van de toeleveringsketen en de contractuele borging daarvan. Een ontbrekende verwerkersovereenkomst kan dus op meerdere fronten tot handhaving leiden.

Hoe Q-Cyber helpt met privacycompliance en verwerkersovereenkomsten

Een correcte verwerkersovereenkomst is onderdeel van een breder privacybeleid en cybersecuritystrategie. Wij helpen organisaties om niet alleen de juiste documenten op te stellen, maar ook om de onderliggende processen en beveiligingsmaatregelen op orde te brengen. Onze aanpak is pragmatisch en onafhankelijk: wij zijn niet gebonden aan softwarepartijen of andere leveranciers, waardoor we altijd adviseren wat het beste past bij jouw situatie.

Wat wij concreet voor je kunnen doen:

  • In kaart brengen welke verwerkersovereenkomsten ontbreken of verouderd zijn;
  • Opstellen of beoordelen van verwerkersovereenkomsten die voldoen aan de AVG;
  • Adviseren over de relatie tussen AVG-verplichtingen en NIS2-eisen, zoals supply chain security;
  • Schrijven van privacybeleid en bijbehorende procedures, inclusief datalekprocedures;
  • Begeleiden van bestuurders en medewerkers via trainingen over privacywetgeving en cybersecurity;
  • Uitvoeren van een gap-analyse om te bepalen waar je organisatie staat ten opzichte van de AVG en andere relevante regelgeving.

Wil je weten hoe jouw organisatie ervoor staat? Neem contact met ons op en we kijken samen wat er nodig is.