Verwerkersovereenkomst: AVG-verplichting bij uitbesteding

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker over de verwerking van persoonsgegevens. De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking bepaalt. De verwerker is de partij die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.

De verplichting om een verwerkersovereenkomst af te sluiten vloeit voort uit artikel 28 van de AVG (Algemene Verordening Gegevensbescherming), in het Nederlands ook wel de GDPR genoemd. Deze verplichting geldt sinds 25 mei 2018, toen de AVG van kracht werd in de gehele Europese Unie.

De verwerkersovereenkomst regelt de rechten en plichten van beide partijen met betrekking tot de verwerking van persoonsgegevens. Het document biedt waarborgen dat de verwerker de gegevens alleen gebruikt voor het afgesproken doel en passende beveiligingsmaatregelen treft.

Zonder verwerkersovereenkomst is de uitbesteding van gegevensverwerking in strijd met de AVG. Dit kan leiden tot forse boetes van de Autoriteit Persoonsgegevens (AP). Bovendien loop je als ondernemer een reputatierisico als persoonsgegevens door een verwerker worden gelekt of misbruikt.

Wanneer is een verwerkersovereenkomst verplicht?

Een verwerkersovereenkomst is verplicht zodra je een externe partij inschakelt die namens jou persoonsgegevens verwerkt. Het gaat om elke handeling met persoonsgegevens: opslaan, verzamelen, raadplegen, gebruiken, doorzenden, combineren of verwijderen. Zelfs het enkel opslaan van gegevens door een hostingpartij valt hieronder.

Veelvoorkomende situaties waarin een verwerkersovereenkomst nodig is: je boekhouder verwerkt facturen met klantgegevens, je hostingprovider slaat je database met klantdata op, je CRM-leverancier beheert je contacten, je salarisverwerker verwerkt personeelsgegevens, en je e-mailmarketingtool beheert je mailinglijsten.

Een verwerkersovereenkomst is niet nodig als de andere partij zelf verwerkingsverantwoordelijke is. Dit is het geval als de andere partij zelf het doel en de middelen van de verwerking bepaalt. Denk aan een bank die je betaalgegevens verwerkt op basis van eigen wettelijke verplichtingen, of een advocaat die een eigen beroepsgeheim heeft.

Bij twijfel kun je de volgende test toepassen: bepaal jij als ondernemer waarvoor en hoe de persoonsgegevens worden verwerkt, en voert de andere partij dit uit in jouw opdracht? Dan is er sprake van een verwerker en is een verwerkersovereenkomst verplicht. Bepaalt de andere partij dit zelfstandig? Dan is het een zelfstandige verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke vs verwerker

Het onderscheid tussen verwerkingsverantwoordelijke en verwerker is cruciaal voor de vraag wie welke verplichtingen heeft. De verwerkingsverantwoordelijke bepaalt het doel (waarom worden de gegevens verwerkt?) en de middelen (hoe worden ze verwerkt?). De verwerker voert de verwerking uit in opdracht van de verwerkingsverantwoordelijke.

Als je een webshop runt en klantgegevens opslaat in een clouddatabase, ben jij de verwerkingsverantwoordelijke. De cloudprovider die de database host, is de verwerker. Jij bepaalt welke gegevens worden opgeslagen en waarvoor ze worden gebruikt. De cloudprovider biedt slechts de technische infrastructuur.

Er bestaat ook het concept van gezamenlijke verwerkingsverantwoordelijken (joint controllers). Dit is het geval als twee of meer partijen samen het doel en de middelen van de verwerking bepalen. Denk aan twee bedrijven die samen een klantenbestand opbouwen en gebruiken. In dat geval moeten beide partijen een onderlinge regeling treffen conform artikel 26 AVG.

De kwalificatie als verwerker of verwerkingsverantwoordelijke is niet altijd eenduidig. Een salarisverwerker wordt in Nederland doorgaans als verwerker aangemerkt, maar in sommige EU-landen als verwerkingsverantwoordelijke. Het is verstandig om de kwalificatie vooraf duidelijk vast te leggen en te onderbouwen.

Wat moet er in een verwerkersovereenkomst staan?

Artikel 28 lid 3 AVG schrijft voor welke elementen minimaal in een verwerkersovereenkomst moeten staan. Het onderwerp en de duur van de verwerking moeten worden beschreven, evenals de aard en het doel van de verwerking. Daarnaast moet worden vastgelegd welke soorten persoonsgegevens worden verwerkt en welke categorieen betrokkenen het betreft.

De verwerker moet worden verplicht om de persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. Dit voorkomt dat de verwerker de gegevens voor eigen doeleinden gebruikt. Tevens moet de verwerker garanderen dat personen die toegang hebben tot de gegevens tot geheimhouding zijn verplicht.

De verwerkersovereenkomst moet bepalingen bevatten over beveiligingsmaatregelen die de verwerker treft. Dit betreft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat past bij het risico. Denk aan encryptie, toegangsbeheersing, back-upbeleid en incidentresponsplannen.

Tot slot moet de verwerkersovereenkomst regelingen bevatten over sub-verwerkers, de meldplicht bij datalekken, de bijstand bij rechten van betrokkenen, auditmogelijkheden en de teruggave of verwijdering van gegevens na afloop van de verwerkingsopdracht. Al deze elementen zijn wettelijk verplicht.

• Onderwerp, duur, aard en doel van de verwerking
• Soorten persoonsgegevens en categorieen betrokkenen
• Verwerking uitsluitend op basis van schriftelijke instructies
• Geheimhoudingsplicht voor medewerkers van de verwerker
• Passende technische en organisatorische beveiligingsmaatregelen
• Regeling voor inschakeling van sub-verwerkers
• Meldplicht bij datalekken (zonder onredelijke vertraging)
• Bijstand bij verzoeken van betrokkenen (inzage, correctie, verwijdering)
• Auditmogelijkheid voor de verwerkingsverantwoordelijke
• Teruggave of verwijdering van gegevens na beeindiging

Sub-verwerkers: regels en risico's

Een sub-verwerker is een partij die door de verwerker wordt ingeschakeld om een deel van de verwerking uit te voeren. Denk aan een cloudprovider die een datacenter van een derde partij gebruikt, of een salarisverwerker die een softwareleverancier inschakelt. De AVG stelt strikte eisen aan het inschakelen van sub-verwerkers.

De verwerker mag geen sub-verwerker inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. Deze toestemming kan specifiek zijn (per sub-verwerker) of algemeen. Bij een algemene toestemming moet de verwerker je informeren over voorgenomen wijzigingen, zodat je bezwaar kunt maken.

De verwerker moet met elke sub-verwerker een overeenkomst afsluiten die dezelfde verplichtingen bevat als de verwerkersovereenkomst. De verwerker blijft jegens de verwerkingsverantwoordelijke volledig aansprakelijk voor het handelen van de sub-verwerker. Dit biedt jou als ondernemer bescherming.

In de praktijk werken veel cloudleveranciers met een uitgebreid netwerk van sub-verwerkers. Het is belangrijk om te controleren welke sub-verwerkers worden ingezet en in welke landen zij gevestigd zijn. Sub-verwerkers buiten de EER brengen extra risico's met zich mee vanwege de regels voor internationale doorgifte van persoonsgegevens.

Meldplicht datalekken in de verwerkersovereenkomst

De verwerkersovereenkomst moet een duidelijke regeling bevatten over de meldplicht bij datalekken. Volgens artikel 33 lid 2 AVG moet de verwerker een datalek zonder onredelijke vertraging melden aan de verwerkingsverantwoordelijke. De Autoriteit Persoonsgegevens verwacht dat dit binnen 24 tot maximaal 48 uur gebeurt.

De melding moet voldoende informatie bevatten zodat de verwerkingsverantwoordelijke kan beoordelen of het datalek moet worden gemeld bij de AP en/of aan de betrokkenen. Dit omvat de aard van het lek, de getroffen gegevens, het aantal betrokkenen, de waarschijnlijke gevolgen en de genomen maatregelen.

De verwerkingsverantwoordelijke is uiteindelijk verantwoordelijk voor de melding bij de AP. De meldtermijn van 72 uur begint te lopen op het moment dat de verwerkingsverantwoordelijke kennis neemt van het lek. Een snelle melding door de verwerker is dus essentieel om binnen de wettelijke termijn te blijven.

Leg in de verwerkersovereenkomst ook vast wie welke kosten draagt bij een datalek. De kosten van forensisch onderzoek, notificatie aan betrokkenen en eventuele boetes kunnen aanzienlijk zijn. Een goede verdeling van verantwoordelijkheden voorkomt conflicten in een toch al stressvolle situatie.

Voorbeelden uit de praktijk

Een boekhouder of accountant die je financiele administratie voert, verwerkt persoonsgegevens van je klanten en leveranciers. Denk aan namen, adressen, bankrekeningnummers en BSN-nummers. Met je boekhouder sluit je een verwerkersovereenkomst waarin je vastlegt welke gegevens worden verwerkt en welke beveiligingsmaatregelen gelden.

Een hostingpartij die je website of applicatie host, heeft toegang tot de persoonsgegevens die in je database staan. Zelfs als de hostingpartij in de praktijk nooit je database raadpleegt, is er juridisch sprake van verwerking. Hostingproviders bieden doorgaans een standaard verwerkersovereenkomst aan die je kunt accepteren.

Een CRM-leverancier zoals Salesforce, HubSpot of een andere SaaS-tool verwerkt de contactgegevens van je klanten, prospects en leveranciers. De verwerkersovereenkomst met je CRM-leverancier moet onder meer regelen dat de gegevens niet voor eigen doeleinden worden gebruikt en dat ze adequaat worden beveiligd.

Een salarisverwerker verwerkt bijzondere persoonsgegevens zoals BSN-nummers, salarisgegevens en ziekteverzuimdata. Vanwege de gevoelige aard van deze gegevens gelden verhoogde eisen aan de beveiliging. De verwerkersovereenkomst met een salarisverwerker is dan ook doorgaans uitgebreider dan met een reguliere verwerker.

Internationale doorgifte van persoonsgegevens

Als je verwerker persoonsgegevens opslaat of verwerkt buiten de Europese Economische Ruimte (EER), gelden extra regels. De AVG staat doorgifte naar derde landen alleen toe als er een passend beschermingsniveau is. De Europese Commissie heeft voor een beperkt aantal landen een adequaatheidsbesluit genomen.

Voor de Verenigde Staten geldt het EU-US Data Privacy Framework als adequaatheidsbesluit, mits de ontvangende partij is gecertificeerd onder dit framework. Controleer of je Amerikaanse verwerker daadwerkelijk gecertificeerd is via de website van het US Department of Commerce.

Als er geen adequaatheidsbesluit is, kun je gebruikmaken van Standard Contractual Clauses (SCC's). Dit zijn modelcontracten die door de Europese Commissie zijn goedgekeurd en die waarborgen bieden voor de bescherming van persoonsgegevens. De SCC's moeten worden opgenomen als bijlage bij de verwerkersovereenkomst.

Daarnaast moet je een Transfer Impact Assessment (TIA) uitvoeren om te beoordelen of de wetgeving van het ontvangende land de bescherming ondermijnt. Als dat het geval is, moeten aanvullende maatregelen worden getroffen, zoals encryptie of pseudonimisering, om het beschermingsniveau te waarborgen.

Rechten van betrokkenen en bijstandsplicht

Betrokkenen, dat zijn de personen van wie persoonsgegevens worden verwerkt, hebben diverse rechten onder de AVG. Zij kunnen inzage vragen in hun gegevens, correctie of verwijdering verzoeken, bezwaar maken tegen de verwerking of vragen om gegevensoverdraagbaarheid. Als verwerkingsverantwoordelijke moet je aan deze verzoeken voldoen.

De verwerker is verplicht om je te ondersteunen bij het uitvoeren van verzoeken van betrokkenen. Dit moet worden vastgelegd in de verwerkersovereenkomst. Als een betrokkene zijn gegevens wil laten verwijderen en deze staan opgeslagen bij je verwerker, moet de verwerker hieraan meewerken.

De bijstandsplicht geldt ook voor Data Protection Impact Assessments (DPIA's). Als je een DPIA moet uitvoeren omdat de verwerking een hoog risico inhoudt voor betrokkenen, moet de verwerker de benodigde informatie aanleveren over de verwerkingsactiviteiten en beveiligingsmaatregelen.

Leg in de verwerkersovereenkomst concrete termijnen vast waarbinnen de verwerker moet reageren op verzoeken. De AVG geeft je als verwerkingsverantwoordelijke een maand om te reageren op verzoeken van betrokkenen. Je verwerker moet dus ruim voor die termijn de benodigde informatie of actie leveren.

Auditmogelijkheid en controlerecht

De AVG schrijft voor dat de verwerkersovereenkomst de verwerkingsverantwoordelijke het recht geeft om audits en inspecties uit te voeren bij de verwerker. Dit is een belangrijk controlemiddel om te verifieren dat de verwerker zich aan de afspraken houdt en de persoonsgegevens adequaat beschermt.

In de praktijk is het niet altijd haalbaar om zelf een audit uit te voeren bij je verwerker, zeker niet bij grote SaaS-leveranciers. Veel verwerkers bieden daarom certificeringen aan als alternatief, zoals ISO 27001, SOC 2 Type II of ISAE 3402. Deze certificeringen worden door onafhankelijke auditors afgegeven.

Leg in de verwerkersovereenkomst vast hoe de audit wordt uitgevoerd: door jou zelf, door een onafhankelijke auditor of op basis van certificeringen. Bepaal ook wie de kosten draagt en hoe vaak een audit mag plaatsvinden. Een jaarlijkse audit of certificeringsverklaring is gebruikelijk.

Het auditmechanisme moet proportioneel zijn. Je kunt niet verwachten dat een kleine softwareleverancier dezelfde uitgebreide auditmogelijkheden biedt als een grote cloudprovider. Pas de auditverplichtingen aan op de omvang van de verwerking en de gevoeligheid van de persoonsgegevens.

Boetes en handhaving door de Autoriteit Persoonsgegevens

Het niet hebben van een verwerkersovereenkomst is een overtreding van artikel 28 AVG. De Autoriteit Persoonsgegevens (AP) kan hiervoor boetes opleggen tot €10.000.000 of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk zijn de boetes voor het MKB lager, maar ze kunnen nog steeds substantieel zijn.

De AP heeft in de afgelopen jaren meerdere boetes opgelegd voor AVG-overtredingen. In 2024 legde de AP een boete van €600.000 op aan Clearview AI voor het onrechtmatig verwerken van biometrische gegevens. Hoewel dit een extreme casus is, laat het zien dat de AP actief handhaaft.

Naast boetes kan de AP ook een last onder dwangsom opleggen, een verwerkingsverbod uitvaardigen of een berisping geven. Een verwerkingsverbod kan zeer ingrijpend zijn als het betekent dat je je CRM-systeem of boekhoudsoftware niet meer mag gebruiken totdat de situatie is hersteld.

De AP richt zich in toenemende mate op structurele overtredingen en herhaaldelijke klachten. Als je meerdere klachten ontvangt van betrokkenen over het ontbreken van een verwerkersovereenkomst, loop je een groter risico op handhaving. Zorg er dus voor dat je voor elke verwerker een actuele verwerkersovereenkomst hebt.

Template en praktische tips

De Autoriteit Persoonsgegevens biedt geen officiele template voor een verwerkersovereenkomst, maar er zijn diverse betrouwbare bronnen beschikbaar. De International Association of Privacy Professionals (IAPP) publiceert modellen en brancheorganisaties zoals Nederland ICT hebben templates ontwikkeld die zijn afgestemd op de Nederlandse markt.

Bij het opstellen van een verwerkersovereenkomst is het belangrijk om niet blind een template over te nemen, maar het document aan te passen aan je specifieke situatie. Beschrijf concreet welke gegevens worden verwerkt, voor welk doel en welke beveiligingsmaatregelen je verwacht. Hoe specifieker, hoe beter.

Maak een overzicht van alle partijen waarmee je persoonsgegevens deelt en controleer of je voor elke partij een actuele verwerkersovereenkomst hebt. Dit register van verwerkers is onderdeel van het verwerkingsregister dat je op grond van artikel 30 AVG moet bijhouden.

Evalueer je verwerkersovereenkomsten jaarlijks. Technologie en dienstverlening veranderen, en daarmee ook de verwerking van persoonsgegevens. Zorg dat je verwerkersovereenkomsten actueel blijven en aansluitend bij de feitelijke verwerking. Neem dit op als vast onderdeel van je compliance-kalender.