Verwerkersovereenkomst: wat het is en wanneer je het nodig hebt
Voor wie is dit? Voor ZZP’ers, zorgverleners en kleine organisaties die software gebruiken waarbij klantdata terechtkomt bij een externe leverancier. De AVG verplicht je daarvoor een verwerkersovereenkomst te sluiten — dit is wat dat betekent en hoe je het regelt.
Verwerkersovereenkomst: wat het is en wanneer je het nodig hebt
Voor wie is dit? Voor ZZP’ers, zorgverleners en kleine organisaties die software gebruiken waarbij klantdata terechtkomt bij een externe leverancier. De AVG verplicht je daarvoor een verwerkersovereenkomst te sluiten — dit is wat dat betekent en hoe je het regelt.
Als je als ZZP’er of kleine organisatie werkt met software die klantdata verwerkt — een EPD-systeem, boekhoudsoftware, e-mailmarketing, of CRM — ben je wettelijk verplicht een verwerkersovereenkomst (VOK) te sluiten met die leverancier. Dit volgt uit AVG artikel 28.
Wat je wint, en wat het kost
Als je dit goed regelt, win je meestal:
- minder juridische en operationele onduidelijkheid over wat leveranciers met klantdata mogen doen
- een beter filter voor leveranciers die professioneel bruikbaar zijn en leveranciers die dat niet zijn
- een duidelijker dossier voor audits, vragen van klanten, of incidenten
Maar het kost ook iets:
- administratief werk
- iets minder vrijheid om snelle, gratis of slecht gedocumenteerde tools te gebruiken
- extra controlewerk rondom serverlocatie, voorwaarden en opslag van bevestigingen
Voor zakelijke en zorgcontexten is dat meestal een normale ruil. Overkill wordt het wanneer je verwerkersovereenkomsten als papierwerk gaat stapelen zonder eerst te bepalen welke leveranciers daadwerkelijk namens jou persoonsgegevens verwerken.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een schriftelijke overeenkomst tussen jou (de verwerkingsverantwoordelijke) en een leverancier (de verwerker) die namens jou persoonsgegevens verwerkt.
De overeenkomst legt vast:
- Welke data de verwerker mag verwerken, en waarvoor
- Hoe de verwerker de data beveiligt
- Dat de verwerker de data niet voor eigen doeleinden mag gebruiken
- Hoe datalekken worden gemeld
- Dat de data wordt verwijderd of teruggegeven na het einde van de overeenkomst
Zonder deze overeenkomst ben jij aansprakelijk voor wat de leverancier met de data doet — ook als jij er geen weet van had.
Wanneer heb je er een nodig?
Je hebt een verwerkersovereenkomst nodig wanneer een externe partij in jouw opdracht persoonsgegevens verwerkt. Voorbeelden:
| Situatie | Verwerkersovereenkomst nodig? |
|---|---|
| Boekhoudsoftware (Moneybird, Exact) met klantfacturen | Ja |
| EPD of dossierbeheersysteem | Ja |
| E-mailmarketingtool (Mailchimp, Brevo) met klantenlijst | Ja |
| CRM-systeem (HubSpot, Pipedrive) | Ja |
| Cloud-opslag (Proton Drive, Tresorit) voor klantdossiers | Ja |
| Je eigen boekhouder die data verwerkt | Ja |
| Tools die je puur voor jezelf gebruikt, zonder klantdata | Nee |
Hoe regel je het?
Stap 1 — Inventariseer je verwerkers
Maak een lijst van alle softwareleveranciers en dienstverleners die klantdata kunnen zien. Denk ook aan: IT-beheer, hosting, salarisadministratie.
Stap 2 — Controleer of er al een VOK is
Veel grote leveranciers hebben de verwerkersovereenkomst al ingebouwd in hun algemene voorwaarden of als apart document beschikbaar. Controleer:
- De privacypagina of juridische pagina van de leverancier
- Zoek op “[naam leverancier] verwerkersovereenkomst” of “data processing agreement”
Voorbeelden waarbij dit standaard geregeld is:
- Proton Drive / Proton Mail — VOK beschikbaar via proton.me/legal
- Moneybird — verwerkersovereenkomst in accountinstellingen
- Google Workspace — Data Processing Amendment beschikbaar
- Mailchimp — Data Processing Addendum accepteren in account
Stap 3 — Onderteken of accepteer
Soms is het klikken op “akkoord” in de accountinstellingen voldoende. Soms moet je een document ondertekenen. Bewaar de bevestiging.
Stap 4 — Sla de overeenkomst op
Bewaar de getekende VOK of de bevestiging van acceptatie. Bij een controle door de AP of een audit moet je kunnen aantonen dat de overeenkomst bestaat.
Wat als een leverancier er geen heeft?
Kleine of onbekende leveranciers hebben soms geen standaard VOK. Dan kun je:
- Zelf een model-VOK sturen — de Autoriteit Persoonsgegevens heeft een modelovereenkomst op autoriteitpersoonsgegevens.nl
- De leverancier vragen er een op te stellen
- Overwegen of deze leverancier geschikt is voor het verwerken van klantdata
Als een leverancier weigert een VOK te sluiten maar wel klantdata verwerkt, kun je die leverancier juridisch gezien niet gebruiken voor dat doel.
EU-servers en doorgifte buiten de EU
Een verwerkersovereenkomst regelt de relatie, maar zegt niets over waar de data staat. Voor AVG-compliance moet data van EU-inwoners in de EU worden opgeslagen, of bij een aanbieder met een adequaatheidsbesluit (bijv. Zwitserland, Canada, VK).
Controleer bij je verwerkers:
- Waar staan de servers?
- Is er een adequaatheidsbesluit of Standard Contractual Clauses (SCC’s) voor doorgifte buiten de EU?
Proton (Zwitserland — adequaatheidsbesluit), Tresorit (EU-servers), en veel grote US-providers via SCC’s zijn doorgaans in orde. Onbekende of gratis diensten: controleer altijd.
Verwerkingsregister
Naast de verwerkersovereenkomsten ben je als verwerkingsverantwoordelijke ook verplicht een verwerkingsregister bij te houden: een overzicht van welke persoonsgegevens je verwerkt, waarvoor, en hoe lang je ze bewaart.
Een eenvoudige spreadsheet met kolommen (categorie data, doel, bewaartermijn, verwerker, rechtsgrond) is voldoende voor een ZZP’er.
Volgende stap
Als er iets misgaat
- AVG meldplicht datalekken — wat je praktisch moet doen bij een incident
Per situatie
Reviews
- Proton Drive review — AVG-compliant opslag