Facebook-f Linkedin-in Instagram
Delen
Naar top
Flyout Menu
Inhoudsopgave

Verwerkersovereenkomst

Verplicht, maar vaak onderschat

Organisaties besteden bij de naleving van de Algemene Verordening Gegevensbescherming (AVG) vaak veel aandacht aan privacyverklaringen en datalekken. De verwerkersovereenkomst blijft daarbij geregeld onderbelicht, terwijl dit document een centrale rol speelt bij uitbestede gegevensverwerkingen. In de praktijk zien wij dat verwerkersovereenkomsten ontbreken, verouderd zijn of onvoldoende aansluiten bij de feitelijke verwerking.

In dit artikel lichten wij toe wanneer een verwerkersovereenkomst verplicht is, wat daarin moet worden geregeld en waar in de praktijk de grootste risico’s liggen.

1. Wanneer is een verwerkersovereenkomst verplicht?

Een verwerkersovereenkomst is verplicht wanneer een organisatie (de verwerkingsverantwoordelijke) persoonsgegevens laat verwerken door een derde (de verwerker), zonder dat die derde zelf het doel en de middelen van de verwerking bepaalt (artikel 28 AVG).

Veelvoorkomende voorbeelden zijn:

  • IT‑dienstverleners en cloudproviders.
  • Salarisadministrateurs.
  • CRM‑ en marketingsoftwareleveranciers.
  • Hosting‑ en back‑updiensten.

Van belang is dat niet de contractuele benaming doorslaggevend is, maar de feitelijke rolverdeling. Dat een partij zichzelf “verwerker” noemt, betekent niet automatisch dat dit ook juridisch juist is.

2. Verwerker, verwerkingsverantwoordelijke of gezamenlijk verantwoordelijk?

In de praktijk ontstaat regelmatig verwarring over de kwalificatie van partijen. Dat kan verstrekkende gevolgen hebben.

  • Verwerker: handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke.
  • Verwerkingsverantwoordelijke: bepaalt zelf het doel en de middelen van de verwerking.
  • Gezamenlijke verwerkingsverantwoordelijkheid: partijen bepalen gezamenlijk het doel en de middelen (artikel 26 AVG).

Een verwerkersovereenkomst is alleen geschikt bij een echte verwerkersrelatie.

Bij gezamenlijke verantwoordelijkheid moeten de betrokken partijen onderling een duidelijke regeling treffen waarin hun respectieve verantwoordelijkheden worden vastgelegd. Dit is verplicht volgens artikel 26 AVG en moet transparant maken wie welke taken uitvoert, bijvoorbeeld bij het afhandelen van verzoeken van betrokkenen of het melden van datalekken. De regeling dient bovendien voor de betrokkenen toegankelijk te zijn, zodat zij weten tot wie zij zich kunnen wenden met vragen of verzoeken.

Een onjuiste kwalificatie kan leiden tot ongeldige afspraken en handhavingsrisico’s.

3. Wat moet minimaal in een verwerkersovereenkomst staan?

De AVG schrijft voor welke onderwerpen verplicht moeten worden vastgelegd. Een verwerkersovereenkomst moet onder meer bepalingen bevatten over:

  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking;
  • het type persoonsgegevens en categorieën betrokkenen;
  • de verplichting voor de verwerker om uitsluitend op schriftelijke instructie te handelen;
  • passende technische en organisatorische beveiligingsmaatregelen;
  • inschakeling van subverwerkers;
  • ondersteuning bij verzoeken van betrokkenen;
  • medewerking bij datalekken en toezichthoudend onderzoek;
  • verwijdering of teruggave van gegevens na afloop van de dienstverlening.

Standaardtemplates voldoen hier lang niet altijd aan, zeker niet als de verwerking complex of sectorspecifiek is.

4. Subverwerkers: vaak vergeten, maar cruciaal

Veel verwerkers schakelen op hun beurt andere partijen in, zoals hostingproviders of supportdiensten. De AVG stelt hier duidelijke eisen aan:

  • subverwerkers mogen alleen worden ingeschakeld met toestemming van de verwerkingsverantwoordelijke;
  • dezelfde privacyverplichtingen moeten worden opgelegd;
  • de verwerkingsverantwoordelijke moet inzicht hebben in de keten.

In de praktijk zien wij dat subverwerkerslijsten niet worden bijgehouden of dat wijzigingen niet worden gecommuniceerd, met alle risico’s van dien.

5. Aansprakelijkheid en boetes: wie draait ervoor op?

Een veelgehoorde misvatting is dat aansprakelijkheid automatisch bij de verwerker ligt. Dat is onjuist. Onder de AVG kunnen zowel verwerkingsverantwoordelijke als verwerker aansprakelijk worden gesteld door betrokkenen of de Autoriteit Persoonsgegevens.

Daarom is het van belang om contractueel duidelijke afspraken te maken over:

  • aansprakelijkheidsverdeling;
  • vrijwaringen;
  • beperking of uitsluiting van indirecte schade (voor zover toegestaan).

Zeker gezien de hoogte van mogelijke boetes en schadeclaims is dit geen formaliteit.

6. Verouderde verwerkersovereenkomsten: een onderschat risico

Veel organisaties werken nog met verwerkersovereenkomsten die jaren geleden zijn opgesteld en niet zijn aangepast aan:

  • gewijzigde verwerkingen;
  • nieuwe wetgeving of jurisprudentie;
  • gewijzigde IT‑inrichting;
  • internationale doorgifte van gegevens.

Een verwerkersovereenkomst is geen eenmalig document, maar vergt periodieke herbeoordeling.

7. Tot slot

De verwerkersovereenkomst is een essentieel onderdeel van AVG‑compliance. Een ontbrekende of gebrekkige overeenkomst kan leiden tot handhaving, aansprakelijkheid en reputatieschade. Tegelijkertijd biedt een goed ingerichte verwerkersovereenkomst duidelijkheid, risicobeheersing en houvast bij incidenten.

Kortom: de verwerkersovereenkomst is geen administratieve bijlage, maar een juridisch kernstuk dat structurele aandacht verdient.

Heeft u vragen over verwerkersovereenkomsten of wilt u bestaande afspraken laten toetsen? Wij denken graag met u mee en bieden praktisch en juridisch onderbouwd advies.

Facebook
LinkedIn
Print
X

Meer weten?

Neem contact met ons op!

Mail
Categorieën of trefwoorden:
Arbeidsrecht
Arbeidsrecht categorie
Ander trefwoord hier
Zoeken

DELEN

Facebook
Pinterest
Twitter
LinkedIn
De Kempenaer Advocaten
Privacyoverzicht

De Kempenaer Advocaten respecteert de privacy van alle bezoekers van haar websites.

Wij maken gebruik van cookies. Een cookie is een klein tekstbestand dat tijdens uw bezoek aan een website naar uw computer wordt gestuurd en daarop wordt geplaatst. Wij gebruiken cookies om onze websites optimaal te laten functioneren.

U kunt de cookies van uw harde schijf verwijderen.

Ook kunt u cookies uitschakelen via uw browser. Zie hiervoor:

Internet Explorer: https://support.microsoft.com/nl-nl/help/17442/windows-internet-explorer-delete-manage-cookies

Mozilla Firefox: https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences

Safari: https://support.apple.com/kb/PH19214?locale=nl_NL

Google Chrome: https://support.google.com/chrome/answer/95647?hl=en-GB&hlrm=nl

 

Onze websites bieden op verschillende plaatsen mogelijkheden tot interactie, zoals bijvoorbeeld het invullen van formulieren ter deelneming aan onze seminars. De daarbij door u verstrekte gegevens worden uitsluitend gebruikt voor het doel waarvoor u ze hebt verstrekt. Uw gegevens worden zonder uw toestemming niet aan derden verstrekt, tenzij dat noodzakelijk is voor het doel waarvoor u die gegevens hebt verstrekt.

Onze website maakt gebruik van Google Analytics voor het verkrijgen van bezoekersstatistieken. De statistieken van Google Analytics worden door ons gebruikt om inzicht te krijgen in de bezoekersaantallen, de populaire pagina’s en om daarmee onze website te verbeteren. De informatie die door Google wordt verzameld, wordt geanonimiseerd opgeslagen. De Kempenaer Advocaten en Google kunnen niet zien welke personen onze website hebben bezocht.

De informatie die Google verzamelt, wordt mogelijk opgeslagen op servers buiten de Europese Economische Ruimte. De Kempenaer Advocaten heeft geen invloed op het gebruik van de data door Google en/of derde partijen. Google kan de gegevens verstrekken aan derden als zij daartoe op grond van de wet verplicht is of voor zover de informatie namens Google door derden wordt verwerkt. Voor meer informatie verwijzen wij u naar het Privacybeleid van Google: https://www.google.nl/intl/nl/policies/privacy/ en naar Google Analystics:https://www.google.com/intl/nl_nl/analytics/

 

In onze website staan knoppen om pagina’s te kunnen te delen of liken op de sociale netwerken LinkedIn, Facebook en Twitter. Dit wordt gerealiseerd door codes die worden aangeleverd door betreffende sociale netwerken. De codes plaatsen onder meer een cookie.

In de privacyverklaring van de sociale netwerken (die regelmatig wijzigen) kunt u lezen wat zij met de persoonsgegevens doen die zij met deze code verwerken.

LinkedIn: https://www.linkedin.com/legal/privacy-policy

Facebook: https://www.facebook.com/policy.php

Twitter: https://twitter.com/en/privacy

Indien u een relatie met De Kempenaer Advocaten heeft, heeft u het recht om de informatie die wij van u hebben op te vragen en (indien nodig) aan te passen. U kunt daarvoor contact met ons opnemen via mail@dekempenaer.nl

Voor verdere vragen over dit onderwerp kunt u contact met ons opnemen via het e-mailadres mail@dekempenaer.nl of door gebruik te maken van het contactformulier op onze website.