Spoiler: het is belangrijker dan je denkt!
Werk je met software, nieuwsbrieven, cloudopslag of andere externe partijen die iets met persoonsgegevens van jouw klanten doen? Dan heb je verwerkersovereenkomsten nodig. En nee, dat is niet “iets wat je even afvinkt bij het aanmaken van een account”. 😉
Als contractspecialist zie ik vaak verwerkersovereenkomsten die:
🔹 Té vaag zijn
🔹 Té veel risico’s bij jou leggen
🔹 Of gewoon… ontbreken 🙈
Hier is waar je op moet letten (zonder juridische migraine):
1️⃣ Wat doet de verwerker precies?
Staat erin wat ze voor je doen, met welke data, hoelang en waarom? Of blijft het allemaal een beetje mysterieus?
2️⃣ Mag de verwerker sub-verwerkers inzetten?
En zo ja: moeten ze jou daar dan van op de hoogte brengen of zelfs toestemming vragen? Zo voorkom je dat jouw data opeens via een onbekend Amerikaans zusterbedrijf loopt.
3️⃣ Beveiliging & verantwoordelijkheid: wie draagt de digitale kluis? 🔐
Als verwerkingsverantwoordelijke ben jij — ja, jij — eindverantwoordelijk.
Dus alleen “passende beveiligingsmaatregelen” roepen is niet genoeg.
✔️ Laat vastleggen wélke maatregelen de verwerker neemt (denk aan encryptie, toegangscontrole, back-ups).
✔️ Leg vast dat de verwerker jouw schriftelijke instructies moet opvolgen.
✔️ Verwerker moet ook meewerken aan inzage, correctie of verwijdering van gegevens (de rechten van betrokkenen).
✔️ En vergeet niet: jij moet kunnen controleren via audits of andere vormen van toezicht. Dus leg dat recht ook vast.
➡️ Geen controle = geen grip = geen bescherming bij een datalek of boze toezichthouder.
4️⃣ Wat als het misgaat?
Is er een meldplicht bij datalekken? En staat erin hoe snel je geïnformeerd moet worden? Tijd = cruciaal.
5️⃣ Verwijderen of teruggeven van data
Wat gebeurt er als jullie stoppen met samenwerken? Wordt de data netjes verwijderd of krijg jij een kopie? Of verdwijnt het ergens in een zwart gat?
6️⃣ Wie is waarvoor aansprakelijk?
Check of jij niet ineens opdraait voor een fout van een ander. Let op (vage) zinnen als “verwerker is niet aansprakelijk voor…”
7️⃣ Data buiten de EU?
Verwerkt jouw verwerker data buiten de EER? Dan moet dat AVG-proof zijn geregeld met Standard Contractual Clauses (SCC’s) én een Transfer Impact Assessment (TIA).
Let op: gebruikt je verwerker aangepaste of eigen modelcontracten? Dan moeten ze vaak toestemming vragen aan de Autoriteit Persoonsgegevens. En ja, dat geldt ook andersom als jij verwerker bent.
🧩 Conclusie:
Een verwerkersovereenkomst is geen formaliteit — het is je juridische vangnet als er iets misgaat met persoonsgegevens.
🎯 Wil je weten of jouw verwerkersovereenkomsten écht kloppen (of beter kunnen)? Stuur me een berichtje – ik check ze voor je. Geen AVG-bla bla, maar praktisch en helder advies.