Start de generator Start →
Begrippen 2 min lezen

Verwerkersovereenkomst

⚖️
Wettelijke basis GDPR art. 28
📄
Wanneer Zodra een verwerker namens jou werkt
✍️
Vorm Schriftelijk / elektronisch

Een verwerkersovereenkomst (in het Engels Data Processing Agreement of DPA) is het verplichte contract tussen een verwerkingsverantwoordelijke en zijn verwerker. Artikel 28 van de GDPR somt op welke afspraken erin moeten staan. Zonder zo'n overeenkomst mag je een externe partij eigenlijk geen persoonsgegevens laten verwerken.

Verplichte onderwerpen

  • Onderwerp, duur, aard en doel van de verwerking.
  • De soorten gegevens en categorieën van betrokkenen.
  • Beveiligingsmaatregelen en geheimhouding.
  • Voorwaarden voor het inschakelen van subverwerkers.
  • Bijstand bij verzoeken van betrokkenen en bij datalekken.
  • Teruggave of wissing van de gegevens na afloop.

Zo pak je het aan

Inventariseer eerst welke leveranciers klantgegevens zien. Vraag bij elk van hen de verwerkersovereenkomst op of aanvaard die online. De meeste Belgische en internationale SaaS-leveranciers stellen een standaardovereenkomst ter beschikking, vaak als onderdeel van hun algemene voorwaarden. Bewaar een kopie of een bevestiging in je administratie.

Waar je op let

Controleer altijd of de zes artikel 28-punten effectief gedekt zijn en of er een actuele lijst van subverwerkers bij hoort. Let ook op doorgifte buiten de Europese Economische Ruimte: staat de leverancier op servers buiten de EER, kijk dan welk doorgiftemechanisme, zoals standaardcontractbepalingen, hij hanteert.

Let op: een verwerkersovereenkomst is iets anders dan je gewone klantcontract. Het regelt specifiek de bescherming van de persoonsgegevens, niet de commerciële afspraken.

Hoe regel je een verwerkersovereenkomst?

Schakel je een externe partij in die persoonsgegevens voor je verwerkt, regel dan in vier stappen een verwerkersovereenkomst.

  1. Inventariseer je leveranciers. Maak een lijst van alle tools en partijen die klantgegevens zien: hosting, mail, CRM, boekhouding en support.
  2. Bepaal of het een verwerker is. Verwerkt de partij gegevens in jouw opdracht zonder zelf het doel te bepalen? Dan is het een verwerker.
  3. Sluit de overeenkomst. Vraag de standaard verwerkersovereenkomst op of accepteer die online; de meeste SaaS-leveranciers hebben er een klaarliggen.
  4. Controleer de verplichte afspraken. Check dat de art. 28-onderwerpen erin staan: doel, beveiliging, sub-verwerkers, hulp bij verzoeken en datalekken, en teruggave na afloop.
Direct toepassen

Verwerk dit correct in jouw voorwaarden

Onze generator stelt dit soort clausules automatisch op - juridisch correct in 3 minuten.

Start de generator →
Veelgestelde vragen

Veelgestelde vragen over verwerkersovereenkomst

Concrete antwoorden op de vragen die ondernemers hier het vaakst over stellen.

Wanneer heb ik een verwerkersovereenkomst nodig?
Zodra een andere partij persoonsgegevens verwerkt namens jou - denk aan hosting, e-mailmarketing, een boekhoudpakket of een CRM. De GDPR (art. 28) verplicht dan een schriftelijke verwerkersovereenkomst.
Wat moet er in een verwerkersovereenkomst staan?
Onder meer het onderwerp en de duur, de aard en het doel van de verwerking, het soort gegevens, de verplichtingen van de verwerker, beveiligingsmaatregelen, regels over subverwerkers en wat er gebeurt na afloop.
Verder lezen

Gerelateerde begrippen

📖
Begrippen

Gegevensbescherming door ontwerp en standaardinstellingen

Gegevensbescherming door ontwerp en door standaardinstellingen (privacy by design en privacy by default) verplicht je om privacy van…

 📖
Begrippen

Standaardcontractbepalingen (SCC's)

Standaardcontractbepalingen (Standard Contractual Clauses of SCC's) zijn modelclausules die de Europese Commissie heeft opgesteld om persoonsgegevens veilig buiten…

 📖
Begrippen

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is de natuurlijke of rechtspersoon die het doel en de middelen van een verwerking bepaalt. Kortweg:…

 📖
Begrippen

GDPR-boete

Een GDPR-boete is een administratieve geldboete die een toezichthouder kan opleggen bij een inbreuk op de gegevensbeschermingsregels. In…
Bekijk alle 34 begrippen →