Sinds de invoering van de AVG zijn de regels voor het verwerken van persoonsgegevens een stuk strenger geworden. Een van de belangrijkste eisen is het afsluiten van een verwerkersovereenkomst wanneer je persoonsgegevens door een externe partij laat verwerken. In de praktijk gaat dat echter nog vaak mis. Veel verwerkersovereenkomsten zijn te vaag, onvolledig of sluiten niet aan op de werkelijkheid. In deze blog lees je de vijf meest voorkomende fouten én hoe je ze voorkomt.

Download hier een pdf van deze blog

Wat is een verwerkersovereenkomst?

De naam zegt het eigenlijk al: een verwerkersovereenkomst is een contract tussen twee partijen: de verwerkingsverantwoordelijke en de ‘verwerker’. De verwerkingsverantwoordelijke is degene die bepaalt waarom en hoe persoonsgegevens worden verwerkt. De verwerker voert die verwerking uit in opdracht van de verantwoordelijke.

In zo’n overeenkomst leg je vast wat de verwerker wel en níet mag doen met de persoonsgegevens die hij krijgt. De verwerker mag deze gegevens alleen verwerken zoals afgesproken en mag ze dus niet gebruiken voor eigen doeleinden. Zo borg je als organisatie dat persoonsgegevens op een veilige, zorgvuldige en wettelijk verantwoorde manier worden verwerkt. Wil je meer weten over jouw rol als verwerkingsverantwoordelijke? Lees dan ook onze eerdere blog: ‘Wat zijn mijn plichten als verwerkingsverantwoordelijke?’.

Meer dan een privacyvraagstuk

Een verwerkersovereenkomst wordt vaak gezien als iets waar de Privacy Officer of de Functionaris Gegevensbescherming (FG) over gaat. Maar dat is te kort door de bocht. De inhoud en uitvoering raken ook aan leveranciersmanagement, informatiebeveiliging en juridische zaken. Het opstellen en beheren van verwerkersovereenkomsten is dus een gezamenlijke verantwoordelijkheid, waarbij verschillende afdelingen moeten samenwerken.

Volgens de Algemene Verordening Gegevensbescherming (AVG) moet je een verwerkersovereenkomst afsluiten zodra je een externe partij inschakelt voor het verwerken van persoonsgegevens. Denk aan cloudleveranciers, softwareaanbieders of externe dienstverleners binnen het sociaal domein. De FG of Privacy Officer kan hierin adviseren, maar het is de organisatie als geheel die verantwoordelijk is voor het afsluiten én het controleren van de afspraken.

Van papier naar praktijk

Een verwerkersovereenkomst is geen document dat je eenmalig opstelt en daarna in een map verdwijnt. De afspraken die je maakt, over beveiliging, datalekken, bewaartermijnen en geheimhouding, moeten in de praktijk ook worden nageleefd. En daar komt leveranciersmanagement in beeld. Leveranciersmanagement speelt een sleutelrol in het toezicht op naleving. Dat betekent: periodiek controleren, rapportages opvragen, audits uitvoeren en bijsturen waar nodig. Zo weet je zeker dat de afspraken niet alleen op papier goed klinken, maar ook écht worden nageleefd. Bovendien versterk je hiermee de grip op leveranciers én de digitale weerbaarheid van je organisatie.

De vijf valkuilen

Naast onduidelijke verantwoordelijkheden, sluipen er in verwerkersovereenkomsten ook regelmatig formuleringen of aannames die voor problemen kunnen zorgen. Hieronder lees je de vijf meest gemaakte fouten en tips om ze te voorkomen.

1. Vage omschrijving van de verwerking: Een veelvoorkomende fout is dat de omschrijving van de verwerkingen in de overeenkomst te vaag of algemeen is. In veel gevallen staat er dat ‘de leverancier persoonsgegevens verwerkt ten behoeve van de dienstverlening.’ Maar wat betekent dat precies? Zonder een concrete beschrijving van wat er wordt verwerkt, hoe en waarom, weet je als gemeente niet wat er werkelijk gebeurt. Dat maakt het lastig om toezicht te houden of vragen van betrokkenen te beantwoorden.

Tip: Voeg een duidelijke bijlage toe waarin je vastlegt:

• Wat het doel van de verwerking is.
• Welke gegevenscategorieën worden verwerkt (zoals naam, BSN, medische gegevens).
• Van wie die gegevens zijn (bijvoorbeeld inwoners, medewerkers).
• Hoe lang de gegevens bewaard worden en wie daarvoor verantwoordelijk is.

2. Onduidelijke of ontbrekende beveiligingsmaatregelen: Veel verwerkersovereenkomsten bevatten een standaardzin als: ‘De verwerker treft passende maatregelen om persoonsgegevens te beveiligen’, zonder dat duidelijk is wat die maatregelen precies zijn. Zonder concrete maatregelen weet je niet waar je op kunt rekenen. En bij een datalek wil je direct weten wat er wel en niet geregeld was.

Tip: Maak beveiligingsafspraken specifiek en toetsbaar. Verwijs bijvoorbeeld naar:

• De Baseline Informatiebeveiliging Overheid (BIO)
• ISO27001/27002 of NEN7510 (voor zorggegevens )

Maar verwijs niet alleen naar een hoog-over norm, vraag concreet naar:

• Toegangsbeheer: wie heeft toegang en hoe wordt dat geregeld?
• Logging en monitoring
• Versleuteling van data (in opslag en transport)
• Back-upbeleid en herstelprocedures
• Fysieke beveiliging van datacenters

3. Onduidelijkheid over subverwerkers: Veel leveranciers schakelen op hun beurt ook weer andere partijen in, zoals hostingproviders of supportdiensten. Deze zogeheten subverwerkers verwerken dan óók persoonsgegevens namens jouw organisatie. Toch zie je in veel overeenkomsten niets terug over deze partijen. Dat is een risico, zeker als het partijen buiten de EU betreft of als je geen zicht hebt op hun beveiligingsmaatregelen.

Tip: Leg het volgende vast:

• De verwerker mag alleen subverwerkers inzetten na schriftelijke toestemming.
• Er moet een actuele lijst zijn van subverwerkers met namen, locaties (binnen of buiten de EU) en rollen.
• Voor subverwerkers gelden dezelfde afspraken als in de hoofdovereenkomst.
• Controleer regelmatig of de lijst actueel is en nog klopt.

4. Geen duidelijke afspraken over datalekken en rechten van betrokkenen: Als er een datalek is bij de verwerker, wil je als gemeente zo snel mogelijk geïnformeerd worden en samen kunnen handelen. Ook moet een verwerker kunnen meewerken aan AVG-verzoeken van betrokkenen, zoals het recht op inzage of verwijdering. Toch ontbreken hierover vaak concrete afspraken in de verwerkersovereenkomst. Of het staat er heel algemeen.

Tip: Maak heldere afspraken over:

• Hoe en binnen welke termijn (bijvoorbeeld binnen 24 uur) een datalek wordt gemeld.
• Via welk kanaal, aan wie, met welke informatie.
• Hoe verzoeken van betrokkenen worden afgehandeld, en binnen welke termijn.

Zeker in crisissituaties is duidelijke communicatie essentieel.

5. Er is niets geregeld over bewaartermijnen of beëindiging: Wat gebeurt er met de persoonsgegevens als de samenwerking eindigt? Worden ze verwijderd, overgedragen of blijven ze ergens op een server staan zonder dat iemand het weet? Zonder duidelijke afspraken hierover kan dit leiden tot problemen bij AVG-verzoeken, audits of bij overstap naar een andere leverancier.

Tip: Leg in de overeenkomst vast:

• Welke bewaartermijnen gelden (en wie ze handhaaft)
• Wat er bij beëindiging gebeurt met de gegevens: vernietigen of overdracht?
• Vraag om schriftelijk bewijs van vernietiging of overdracht.
• Maak onderscheid tussen actieve bestanden en back-ups, en spreek af hoe lang back-ups worden bewaard en vernietigd.

Conclusie

Een goede verwerkersovereenkomst stel je niet alleen op voor de juridische check. Het is een belangrijk onderdeel van hoe je als organisatie samenwerkt met externe partijen die persoonsgegevens verwerken. Door privacy, informatiebeveiliging en leveranciersmanagement goed op elkaar af te stemmen, voorkom je verrassingen en beperk je risico’s. Met deze vijf valkuilen hoop ik dat je beter bent voorbereid en kunt werken aan een veiligere en meer betrouwbare samenwerking met je leveranciers.

Meer informatie of hulp nodig?

Bij IB&P helpen we gemeenten met het opstellen, beoordelen en verbeteren van verwerkersovereenkomsten. Of het nu gaat om het toetsen van een contract, het inrichten van een standaardproces of het trainen van medewerkers: we denken graag met je mee. Neem gerust contact met ons op als je vragen hebt of een voorbeeld wilt ontvangen van een praktische, AVG-proof verwerkersovereenkomst.