Schakel je een externe partij in die persoonsgegevens voor jou verwerkt, je hoster, mailtool of boekhoudpakket, dan eist de AVG een verwerkersovereenkomst. Wanneer precies, en wat moet erin?
Verwerker of niet?
De kernvraag: verwerkt een partij persoonsgegevens in jouw opdracht, zonder daar zelf het doel van te bepalen? Dan is het een verwerker en heb je een verwerkersovereenkomst (vaak “verwerkersovereenkomst” of in het Engels DPA) nodig. Voorbeelden:
- Je webhosting of cloudprovider.
- Je e-mailmarketingtool (Mailchimp, Laposta).
- Je CRM of klantsysteem.
- Een boekhoud- of factuurpakket.
- Een extern klantenservice- of supportplatform.
Wanneer je er géén nodig hebt
Bepaalt de andere partij zelf het doel en de middelen, dan is het een zelfstandig verwerkingsverantwoordelijke en geen verwerker. Denk aan je accountant die wettelijke taken uitvoert, of een bank. Met hen sluit je geen verwerkersovereenkomst.
Wat moet er in de overeenkomst?
Artikel 28 AVG schrijft een aantal verplichte afspraken voor:
- Onderwerp, duur, aard en doel van de verwerking.
- Soort persoonsgegevens en categorieën betrokkenen.
- Dat de verwerker alleen op jouw instructie handelt.
- Geheimhouding en passende beveiligingsmaatregelen.
- Afspraken over sub-verwerkers.
- Hulp bij verzoeken van betrokkenen en bij datalekken.
- Teruggave of verwijdering van gegevens na afloop.
In de praktijk
Bijna alle serieuze SaaS-leveranciers hebben een standaard verwerkersovereenkomst klaarliggen die je online accepteert of downloadt. Maak een lijstje van alle tools die klantgegevens zien en controleer per stuk of je de overeenkomst hebt geregeld. Noteer ze ook in je privacyverklaring onder “delen met derden”. Krijg je een inzage- of verwijderverzoek, dan helpt de verwerker je dat na te komen.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis