Verwerkersovereenkomst: wanneer nodig? AVG-uitleg

Q: Heb ik een verwerkersovereenkomst nodig met Microsoft 365?

Ja, zodra je via Microsoft 365 persoonsgegevens van jouw klanten of medewerkers verwerkt. Microsoft heeft een standaard Data Protection Addendum dat je via het beheerportaal accepteert. Dit DPA voldoet aan artikel 28 AVG. Voor verwerking van bijzondere persoonsgegevens kan een aanvullende afspraak nodig zijn.

Q: Wat is het verschil tussen verwerker en verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking — dat ben jij als bedrijf. De verwerker handelt alleen op jouw instructie zonder eigen doel. Een leverancier die zelf doelen bepaalt voor dezelfde gegevens, is gemeenschappelijk verwerkingsverantwoordelijke (joint controller) volgens artikel 26 AVG.

Q: Wat zijn subverwerkers en moet ik die kennen?

Subverwerkers zijn partijen die jouw verwerker inschakelt voor (delen van) de verwerking. Voorbeeld: jouw nieuwsbriefdienst gebruikt AWS voor hosting. De DPA moet vermelden dat sub-verwerking is toegestaan, met welke voorwaarden, en hoe je toestemming geeft of bezwaar maakt. Houd een actuele lijst bij van alle subverwerkers.

Q: Wat gebeurt er als ik geen verwerkersovereenkomst heb?

Bij een AP-onderzoek of datalek kan de Autoriteit Persoonsgegevens een waarschuwing, dwangsom of boete opleggen. Boetes lopen op tot €10 miljoen of 2% van de wereldwijde jaaromzet. Belangrijker: bij datalekken of misbruik door je leverancier blijf je als verwerkingsverantwoordelijke direct aansprakelijk zonder DPA als basis voor regres.

Q: Moet ik een verwerkersovereenkomst hebben met mijn boekhouder?

Ja, omdat de boekhouder klantfacturen verwerkt waarop persoonsgegevens staan (NAW, soms BSN). De boekhouder is verwerker namens jou. Boekhouders bieden doorgaans standaard-DPA's; vraag deze actief op. Bij accountant-organisaties geldt regelmatig een hybride model met deels gemeenschappelijk verwerkingsverantwoordelijkheid voor wettelijke werkzaamheden.

Een verwerkersovereenkomst is een verplicht contract op grond van artikel 28 AVG zodra je persoonsgegevens laat verwerken door een externe partij — een cloud-dienst, salarisadministrateur, e-mailmarketingplatform of welke dienstverlener dan ook die toegang krijgt tot data van jouw klanten of medewerkers. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst — Engelse term Data Processing Agreement (DPA) — is een schriftelijke overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker over hoe persoonsgegevens worden behandeld. De juridische basis ligt in artikel 28 lid 3 AVG: de verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling.

Het verschil tussen verwerker en verwerkingsverantwoordelijke is centraal:

Verwerkingsverantwoordelijke: bepaalt het doel en de middelen van de verwerking. Dat ben jij als bedrijf zodra je beslist welke gegevens worden verzameld en waarvoor.
Verwerker: verwerkt persoonsgegevens namens en voor de verwerkingsverantwoordelijke, op basis van diens instructies. Dit is de externe partij — niet eigenaar van het doel.

Een leverancier kan ook gemeenschappelijk verwerkingsverantwoordelijke zijn (joint controller) wanneer hij eigen doelen bepaalt voor dezelfde gegevens. Dan geldt artikel 26 AVG en is de structuur anders. Bij twijfel: jurist raadplegen.

Wanneer heb je een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst is verplicht in elke situatie waarin een externe partij persoonsgegevens voor jou verwerkt, ongeacht het volume of de aard van de gegevens. Vier veelvoorkomende voorbeelden voor MKB-bedrijven:

Cloud- en SaaS-diensten

Microsoft 365 (e-mail, Teams, OneDrive met klantdata).
Google Workspace (Gmail, Drive, Docs).
Salesforce, HubSpot, Pipedrive — CRM-systemen met klantdata.
Slack, Asana, Notion — communicatie- en projecttools waarin medewerkergegevens of klantcorrespondentie staat.

Marketing- en e-mailpartijen

Mailchimp, ActiveCampaign, Sendinblue — nieuwsbrief-software die abonneegegevens verwerkt.
Google Ads, Meta Ads, LinkedIn Ads — wanneer ze custom audiences maken op basis van jouw klantdata.
Klantsupport-tools zoals Intercom, Zendesk, Freshdesk.

Backoffice-dienstverleners

Salarisadministrateur (loongegevens, BSN, bankrekeningnummer medewerkers).
Boekhouder (klantfacturen met persoonsgegevens).
HR-software (Personio, BambooHR voor MKB met meer dan ~10 medewerkers).

Specifieke verwerkers

Verzendpartijen (PostNL, DHL, DPD) voor consumenten-bestellingen.
Externe IT-beheerder die toegang heeft tot jouw systemen met klantdata.
Hostingpartij voor je website (Hostnet, TransIP, Mijndomein).

Geen verwerkersovereenkomst nodig: bij verwerkingen waarbij geen persoonsgegevens overgaan (puur statische website-hosting zonder formulieren), of wanneer een partij gemeenschappelijk verwerkingsverantwoordelijke is (zoals soms bij betaaldienstverleners — kijk naar de specifieke afspraak).

Welke acht elementen moet een verwerkersovereenkomst minimaal bevatten?

Artikel 28 lid 3 AVG schrijft acht verplichte onderdelen voor in een verwerkersovereenkomst. Ontbreekt één daarvan, dan voldoet de overeenkomst niet aan de wet en blijft de verwerkingsverantwoordelijke aansprakelijk voor de gevolgen.

Onderwerp en duur: welke verwerking en hoe lang. Kan gekoppeld zijn aan de hoofdovereenkomst (bijvoorbeeld een SaaS-licentie).
Aard en doel: een beschrijving van de soort verwerkingen (bijvoorbeeld "hosten van klantcommunicatie") en het doel ("ondersteuning klantenservice").
Soort persoonsgegevens en categorieën betrokkenen: NAW, e-mail, financieel, BSN, gezondheid; en wie het betreft (klanten, medewerkers, sollicitanten).
Verplichtingen en rechten verwerkingsverantwoordelijke: wat je als opdrachtgever mag eisen — instructies, audits, beëindiging.
Verwerker handelt alleen op instructie: expliciete clausule dat de verwerker geen eigen doelen heeft.
Geheimhouding: de verwerker en zijn medewerkers zijn tot geheimhouding verplicht.
Beveiligingsmaatregelen: technische en organisatorische maatregelen volgens artikel 32 AVG.
Subverwerkers: regeling over de inschakeling van subverwerkers (toestemming, lijst, doorgeven verplichtingen).

Daarnaast moeten zaken rond bijstand bij rechten van betrokkenen (inzage, verwijdering), datalekmelding, en teruggave/verwijdering van gegevens na einde verwerking expliciet zijn vastgelegd. Veel grote leveranciers hebben standaard-DPA's beschikbaar — controleer deze altijd op deze acht punten.

Voordelen en nadelen voor beide partijen

Een verwerkersovereenkomst dient niet alleen een wettelijke verplichting — beide partijen hebben er belang bij dat de verantwoordelijkheden helder zijn vastgelegd.

Voordelen voor de verwerkingsverantwoordelijke (jij als opdrachtgever)

Risico-overdracht: schade door niet-naleving aan de zijde van de verwerker kan worden verhaald.
Auditrecht: je mag de naleving controleren, vaak via een SOC 2- of ISO 27001-rapport.
Bewijs van AVG-zorgvuldigheid bij AP-onderzoek.

Voordelen voor de verwerker (de leverancier)

Heldere afbakening van verantwoordelijkheid: alleen verantwoordelijk voor instructies van opdrachtgever, niet voor doelbepaling.
Standaardisatie: een goed DPA-template voorkomt dat elke klant eigen variaties eist.
Voorspelbare aansprakelijkheid via overeengekomen cap.

Nadelen en risico's

Voor de verwerkingsverantwoordelijke: aansprakelijkheid blijft primair, ook bij naleving van het DPA. Je kunt schade verhalen, maar AP-boetes komen aan jouw deur.
Voor de verwerker: bij meerdere klanten een groeiende DPA-administratie. Audit-rechten kunnen zwaar zijn voor kleine partijen.
Voor beide: bij internationale verwerkingen (verwerker buiten EER) zijn aanvullende Standaard Contractbepalingen (SCC's) en transfer impact assessment vereist — extra contractuele lagen.

Veelgemaakte fouten met verwerkersovereenkomsten

De vier fouten die in de praktijk leiden tot AVG-handhaving of in een datalek-procedure als gebrekkig worden beoordeeld:

Geen DPA met cloud-providers afsluiten: MKB-bedrijven gebruiken regelmatig Microsoft 365 of Google Workspace zonder de Data Processing Addendum te hebben geaccepteerd. Beide leveranciers hebben standaard-DPA's online — accepteer deze in je beheerportaal.
DPA tekenen zonder beoordelen: standaard-DPA's van leveranciers zijn doorgaans in hun voordeel geschreven. Lees minimaal de aansprakelijkheids-, sub-verwerkers- en audit-clausules door.
Geen lijst van actieve verwerkers bijhouden: bij een datalek of AP-onderzoek moet je binnen 72 uur weten welke leveranciers welke gegevens hebben. Houd een verwerkersregister bij.
Vergeten subverwerkers: jouw e-mailmarketingleverancier gebruikt regelmatig weer Amazon Web Services voor hosting. De DPA moet dat dekken via een sub-verwerker-clausule.

Wanneer schakel je een jurist in?

Voor reguliere SaaS- en backoffice-leveranciers volstaat doorgaans hun standaard-DPA. Bij Lawsy genereer je een verwerkersovereenkomst voor situaties waarin je zelf verwerker bent (bijvoorbeeld als je software levert aan klanten). Optionele jurist-review beoordeelt de match met jouw branche.

Schakel altijd een jurist in bij:

Verwerkers buiten de EER zonder adequaatheidsbesluit — vereist SCC's en transfer impact assessment.
Verwerking van bijzondere persoonsgegevens (gezondheid, biometrie) — verzwaarde aansprakelijkheid en DPIA-vereiste.
Eigen DPA opstellen voor jouw klanten als je software of dienst levert die persoonsgegevens verwerkt.
Lopend AP-onderzoek of datalek waarbij meerdere verwerkers betrokken zijn.

Let op: Dit artikel geeft algemene informatie over verwerkersovereenkomsten en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Verwerkersovereenkomst: wanneer heb je die nodig?