Agnes controleert verwerkersovereenkomsten met een checklist naast een stapel leveranciersmappen.

Verwerkersovereenkomst AVG: wat moet erin staan en hoe sluit je er een?

AVG, GDPR

Je hebt waarschijnlijk meer DPA's nodig dan je denkt

Stel: je verstuurt een maandelijkse nieuwsbrief via Mailchimp. Je klantgegevens (naam, e-mailadres, klikgedrag) staan op servers van Mailchimp. Dat betekent dat Mailchimp persoonsgegevens verwerkt namens jou. En daarvoor heb je een verwerkersovereenkomst nodig.

Dat geldt niet alleen voor je e-mailtool. Je HR-software, je boekhoudsysteem, je cloudopslag, je CRM: overal waar een externe partij persoonsgegevens inziet of opslaat, is een verwerkersovereenkomst (ook wel DPA, Data Processing Agreement) verplicht.

Toch ontbreekt bij veel mkb-bedrijven een groot deel van deze overeenkomsten. Niet uit onwil, maar omdat het onduidelijk is wat erin moet staan en hoe je ze regelt. Voordat je een verwerkersovereenkomst opstelt, wil je weten wat AVG artikel 28 precies vereist. Hieronder lees je precies wat een DPA moet bevatten, hoe je er een aanvraagt, en wat je doet als een leverancier dwarsligt.

Wat is een verwerkersovereenkomst en wanneer heb je er een nodig?

Een verwerkersovereenkomst is een contract tussen jou (de verwerkingsverantwoordelijke) en een partij die namens jou persoonsgegevens verwerkt (de verwerker). De AVG schrijft dit voor in artikel 28.

De kernvraag: verwerkt een andere partij persoonsgegevens in jouw opdracht? Dan is een verwerkersovereenkomst verplicht.

Voorbeelden waar je een DPA nodig hebt:

  • E-mailmarketing (Mailchimp, ActiveCampaign), want zij slaan je mailinglijst op
  • HR-software (Personio, AFAS), die personeelsgegevens bevat
  • Boekhoudsoftware (Exact, Moneybird) met klantgegevens en factuurdata
  • Cloudopslag (Google Workspace, Microsoft 365) waar documenten met persoonsgegevens staan
  • CRM-systemen (HubSpot, Salesforce) met klantinformatie
  • Hostingpartijen, als zij toegang hebben tot data op je servers

Een veelgemaakte fout: denken dat je geen DPA nodig hebt als je "maar weinig data deelt." De AVG maakt geen onderscheid in hoeveelheid. Een enkel e-mailadres is al een persoonsgegeven.

Wanneer ben jij de verwerkingsverantwoordelijke?

Je bent verwerkingsverantwoordelijke als jij bepaalt waarom en hoe persoonsgegevens worden verwerkt. De verwerker voert die verwerking uit volgens jouw instructies. Dat onderscheid is belangrijk, want het bepaalt wie de DPA moet initiëren.

Een paar voorbeelden:

| Situatie | Jouw rol | Rol andere partij | |---|---|---| | Je gebruikt Mailchimp voor je nieuwsbrief | Verwerkingsverantwoordelijke | Verwerker | | Je accountant doet je loonadministratie | Verwerkingsverantwoordelijke | Verwerker | | Je klant stuurt je persoonsgegevens om te verwerken | Verwerker | Verwerkingsverantwoordelijke |

Let op: soms is een partij geen verwerker maar een zelfstandige verwerkingsverantwoordelijke. Denk aan een advocaat die zelf bepaalt hoe dossiers worden behandeld. In dat geval is geen verwerkersovereenkomst nodig, maar mogelijk wel een overeenkomst over gegevensdeling.

De 7 dingen die in elke DPA moeten staan (AVG artikel 28)

Artikel 28 van de AVG beschrijft wat minimaal in een verwerkersovereenkomst moet staan. Dit zijn de verplichte onderdelen, vertaald naar begrijpelijk Nederlands.

1. Het onderwerp en de duur van de verwerking Wat wordt er verwerkt en hoe lang? Bijvoorbeeld: "Verwerking van e-mailadressen voor het versturen van nieuwsbrieven, zolang de overeenkomst loopt."

2. De aard en het doel van de verwerking Waarom worden de gegevens verwerkt? Wees specifiek. "Marketingdoeleinden" is te vaag. "Het verzenden van gepersonaliseerde e-mailcampagnes" is beter.

3. Het type persoonsgegevens Welke categorieën gegevens worden verwerkt? Denk aan: namen, e-mailadressen, IP-adressen, financiële gegevens, gezondheidsgegevens.

4. De categorieën betrokkenen Van wie zijn de gegevens? Klanten, medewerkers, websitebezoekers, sollicitanten?

5. De rechten en plichten van de verwerkingsverantwoordelijke Wat mag jij verwachten en wat zijn jouw verantwoordelijkheden?

6. Technische en organisatorische beveiligingsmaatregelen Hoe beschermt de verwerker de gegevens? Denk aan encryptie, toegangscontrole, back-upprocedures. Dit hoeft geen roman te zijn, maar "we doen ons best" is niet voldoende.

7. Regels voor sub-verwerkers Schakelt de verwerker zelf ook weer andere partijen in? Dan moeten daar afspraken over staan. Meer hierover verderop.

Hoe vraag je een DPA aan bij een leverancier?

Bij grote SaaS-leveranciers (Google, Microsoft, Mailchimp) is het aanvragen van een DPA makkelijker dan je verwacht. Zij hebben standaard verwerkersovereenkomsten klaarliggen. Je vindt ze meestal:

  • In het accountdashboard onder "Privacy" of "Legal"
  • Op de website onder "DPA" of "Data Processing Agreement"
  • Via de klantenservice of je accountmanager

Bij kleinere leveranciers is het een kwestie van een e-mail sturen: "Wij zijn bezig met het op orde brengen van onze AVG-documentatie. Kunnen jullie ons een verwerkersovereenkomst aanleveren?"

Tip: bewaar een standaard e-mailtemplate voor DPA-verzoeken. Zo kost het je vijf minuten per leverancier in plaats van een half uur.

Wil je per leverancier bijhouden welke DPA's je al hebt en welke nog ontbreken? In ComplianceHive koppel je verwerkersovereenkomsten direct aan je leveranciers, zodat je in een oogopslag ziet waar de gaten zitten. Bekijk de mogelijkheden.

Wat als een leverancier geen DPA wil tekenen?

Dit komt vaker voor dan je zou willen. Een leverancier die zegt "dat is bij ons niet nodig" of "we verwerken geen persoonsgegevens", terwijl ze duidelijk wel toegang hebben tot klantdata.

Je opties:

  1. Leg schriftelijk uit waarom het wel nodig is. Verwijs naar AVG artikel 28. Veel leveranciers weten oprecht niet dat ze verwerker zijn.

  2. Vraag om een alternatief. Sommige leveranciers hebben een eigen DPA die ze niet actief aanbieden. Een directe vraag levert soms alsnog een document op.

  3. Documenteer de weigering. Als een leverancier weigert, leg dat dan vast. Dat is relevant als de Autoriteit Persoonsgegevens ooit vraagt waarom je geen DPA hebt met die partij.

  4. Overweeg een andere leverancier. Een partij die weigert om een verwerkersovereenkomst te tekenen is een risico. Juridisch, maar ook als signaal over hoe zij met gegevensbescherming omgaan.

Waar je op moet letten in een DPA die je wel ontvangt:

  • Vage of ontbrekende informatie over waar data wordt opgeslagen
  • Geen afspraken over wat er bij een datalek gebeurt
  • Geen auditrechten voor jou als verwerkingsverantwoordelijke
  • Geen vermelding van sub-verwerkers
  • Clausules die de verwerker het recht geven data voor eigen doeleinden te gebruiken

Zie je een of meer van deze punten? Ga terug naar de leverancier. Een DPA met gaten biedt schijnveiligheid.

DPA's bijhouden: hoe doe je dat praktisch?

Een verwerkersovereenkomst afsluiten is stap een. Maar bij een audit wil de Autoriteit Persoonsgegevens zien dat je een overzicht hebt: welke leveranciers verwerken data, welke DPA's zijn er, en wanneer zijn ze voor het laatst gecontroleerd?

Veel bedrijven beginnen met een spreadsheet. Dat werkt tot je vijftien leveranciers hebt en drie collega's die allemaal een andere versie bijhouden.

Wat je minimaal wilt vastleggen per leverancier:

  • Naam van de leverancier
  • Welke persoonsgegevens zij verwerken
  • Of er een DPA is (ja/nee)
  • Datum van de DPA
  • Welke sub-verwerkers zij inzetten
  • Wanneer je de DPA voor het laatst hebt gecontroleerd

Dit register is geen formaliteit. Het is wat auditors als eerste opvragen.

In ComplianceHive sla je verwerkersovereenkomsten op als document bij de betreffende leverancier. Zo houd je het overzicht zonder dat het een chaos van losse bestanden wordt.

Checklist: is jouw DPA compleet?

Gebruik deze checklist om bestaande en nieuwe verwerkersovereenkomsten te toetsen:

  • [ ] Onderwerp en duur van de verwerking zijn beschreven
  • [ ] Doel van de verwerking is specifiek omschreven (niet "diverse doeleinden")
  • [ ] Type persoonsgegevens is benoemd (namen, e-mails, IP-adressen, etc.)
  • [ ] Categorieën betrokkenen zijn vermeld (klanten, medewerkers, etc.)
  • [ ] Beveiligingsmaatregelen zijn concreet beschreven
  • [ ] Datalekprocedure is opgenomen (melding binnen 72 uur, zoals vereist door AVG artikel 33)
  • [ ] Sub-verwerkers zijn benoemd of er is een procedure voor toestemming
  • [ ] Auditrechten zijn opgenomen
  • [ ] Verwijdering of teruggave van data na beëindiging is geregeld
  • [ ] De DPA is ondertekend door beide partijen

Mis je punten? Neem contact op met je leverancier om de DPA aan te vullen. Een onvolledige verwerkersovereenkomst is bijna net zo risicovol als helemaal geen verwerkersovereenkomst.

Begin vandaag met je DPA-overzicht

Je hoeft geen jurist te zijn om verwerkersovereenkomsten op orde te krijgen. Maak een lijst van al je leveranciers die persoonsgegevens verwerken. Controleer per leverancier of je een DPA hebt. Toets bestaande DPA's aan de checklist hierboven. Pak de gaten een voor een aan.

Een middag werk. Daarna kun je elke audit met een gerust hart tegemoet.

Sla al je verwerkersovereenkomsten op in ComplianceHive en houd direct bij welke leveranciers nog een DPA missen. Een overzichtelijke start met je leveranciersdocumentatie. Start gratis.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis