Schakel je een externe partij in die persoonsgegevens voor je verwerkt, dan verplicht artikel 28 van de GDPR een verwerkersovereenkomst. Veel ondernemers weten niet goed wanneer dat speelt. Deze gids maakt het concreet.

Wat is een verwerker?

Een verwerker verwerkt gegevens in jouw opdracht zonder zelf het doel te bepalen. Denk aan je webhosting, je mailingtool, je boekhoudpakket of een extern supportplatform. Jij blijft verwerkingsverantwoordelijke; zij voeren uit.

Inventariseer je leveranciers

Maak een lijst van alle tools en partijen die klantgegevens zien: hosting, e-mail, CRM, boekhouding, betaaldienst en support. Voor elk daarvan ga je na of er een verwerkersovereenkomst is.

Sluit of aanvaard de overeenkomst

De meeste SaaS-leveranciers hebben een standaard verwerkersovereenkomst klaarliggen, vaak online te aanvaarden of als onderdeel van hun voorwaarden. Vraag ze op en bewaar een kopie of bevestiging in je administratie.

Controleer de verplichte afspraken

Check of de overeenkomst de artikel 28-onderwerpen dekt:

  • Doel, duur, aard en soorten gegevens.
  • Beveiligingsmaatregelen en geheimhouding.
  • Voorwaarden voor subverwerkers.
  • Bijstand bij verzoeken van betrokkenen en bij datalekken.
  • Teruggave of wissing na afloop.

Let op doorgifte buiten de EER

Staat de leverancier op servers buiten de Europese Economische Ruimte, controleer dan welk doorgiftemechanisme hij hanteert, zoals standaardcontractbepalingen. Vermeld die doorgifte ook in je privacybeleid.

Een verwerkersovereenkomst is geen formaliteit: ze legt vast wie wat doet als het misloopt en beschermt zowel jou als je klanten.