Verwerkersovereenkomst opstellen: checklist volgens AVG art. 28
Zodra je persoonsgegevens laat verwerken door een externe partij, moet er een verwerkersovereenkomst liggen. Een cloudprovider, een salarisadministratiekantoor, een documentvernietigingsdienst, een marketingbureau dat je klantbestand verrijkt: allemaal verwerkers in de zin van de AVG. Artikel 28 schrijft in lid 3 voor welke elementen de overeenkomst minimaal moet bevatten. Wie zonder ondertekende overeenkomst opdrachten laat uitvoeren, overtreedt de AVG zelf, ook als de verwerker professioneel handelt. Dit artikel is een praktische 13-punts checklist.
Doelgroep: MKB-ondernemers, DPO's, inkoop, en iedereen die regelmatig contracten met verwerkers ondertekent.
Wanneer is een verwerkersovereenkomst nodig?
Alleen als de tegenpartij kwalificeert als verwerker. Dat betekent: een partij die persoonsgegevens verwerkt in opdracht en onder instructie van jou (de verwerkingsverantwoordelijke). Een advocaat die voor je procedeert is geen verwerker, want die opereert zelfstandig. Een documentvernietigingsdienst die jouw archieven verwerkt op basis van jouw instructies: wel een verwerker.
De overeenkomst regelt niet de zakelijke afspraak zelf. Prijs, volume en leveringsbereik staan in een aparte raamovereenkomst of offertebevestiging. De verwerkersovereenkomst gaat uitsluitend over privacy.
De 13 punten
1. Partijen en rollen
Wie is verantwoordelijke, wie verwerker? Volledige naam, KvK-nummer, adres, contactpersoon en ondertekeningsbevoegde. Geen opening voor misverstand.
2. Onderwerp, duur, aard en doel van de verwerking
Concreet beschrijven. Voorbeeld: ‘verwerking bestaat uit mobiele documentvernietiging op locatie van de verantwoordelijke, met DIN 66399 P-5. Duur: per opdracht, gemiddeld 2 uur. Doel: veilige vernietiging van persoonsgegevens na afloop bewaartermijn.’
3. Soorten persoonsgegevens en categorieen betrokkenen
Welke categorieen verwerk je? Denk aan: namen, adressen, BSN, kopieen ID, financiele gegevens, medische gegevens, etc. En welke betrokkenen: clienten, medewerkers, patienten, leveranciers?
4. Instructies van de verantwoordelijke
De verwerker mag alleen handelen op schriftelijke of gedocumenteerde instructie. Bepaal dat afwijken verboden is tenzij vooraf afgestemd. Dit beschermt jou tegen eigenmachtig handelen door de verwerker.
5. Geheimhoudingsplicht van personeel
Alle medewerkers die in contact komen met de gegevens zijn aan geheimhouding gebonden. Liefst met verwijzing naar arbeidscontract of individuele verklaring. Voor gevoelige branches (advocatuur, zorg) eis je ook VOG.
6. Beveiligingsmaatregelen (AVG art. 32)
Beschrijf welke passende technische en organisatorische maatregelen de verwerker neemt. Voorbeelden: toegangscontrole op locatie, versleutelde transport, gesloten shredderwagen, logging van uitgevoerde opdrachten, fysieke beveiliging opslag. Zie ook ons artikel over AVG-eisen documentvernietiging.
7. Subverwerkers
Mag de verwerker onderaannemers inschakelen? Zo ja, onder welke voorwaarden? Standaard: vooraf schriftelijke toestemming, of algemene toestemming met meldplicht per nieuwe subverwerker. Subverwerkers moeten dezelfde verplichtingen opgelegd krijgen (‘doorplicht’).
8. Meldplicht bij datalekken
Binnen hoeveel uur meldt de verwerker een incident? AVG schrijft niets voor, maar 24 tot 48 uur is gangbaar. Zo heb jij zelf de 72-uurstermijn bij de AP. Zie ons artikel over datalek melden in 72 uur.
9. Bijstand bij rechten van betrokkenen
De verwerker helpt jou bij het afhandelen van verzoeken van betrokkenen (inzage, correctie, verwijdering, dataportabiliteit). Leg vast hoe snel en tegen welke kosten.
10. Bijstand bij risicoanalyse (DPIA)
Als jij een Data Protection Impact Assessment moet uitvoeren, levert de verwerker relevante informatie. Voor een vernietigingsdienst beperkt die bijdrage zich doorgaans tot technische documentatie van de vernietiging.
11. Auditrecht
Jij mag controleren of de verwerker zich houdt aan de afspraken. Dat kan via inspectie op locatie, via overhandiging van certificaten (ISO 27001, NEN 7510), via een onafhankelijke audit. Leg frequentie en kostenverdeling vast.
12. Einde verwerking
Wat gebeurt er met de gegevens na afloop van de bewaartermijn, opdracht of overeenkomst? Verwijdering of teruggave, binnen welke termijn. Bij vernietiging is dit vanzelfsprekend: de gegevens zijn vernietigd aan het einde van elke opdracht. Maar ook metadata, logboeken en overige resten moeten geregeld zijn.
13. Aansprakelijkheid en boete
Niet verplicht maar verstandig. Wie draait op voor een AVG-boete als de verwerker nalatig was? De wet verdeelt aansprakelijkheid hoofdelijk, maar onderling kun je vrijwaring afspreken.
Verwerkersovereenkomst nodig voor documentvernietiging?
Wij hebben een standaard model klaar dat voldoet aan AVG art. 28. Branchespecifieke addenda voor zorg, advocatuur, notariaat en financieel. Binnen een werkdag terug getekend.
Vraag een offerte aanDe valkuilen
Geen overeenkomst voorafgaand aan eerste opdracht
‘We tekenen het later wel’ is een AVG-overtreding vanaf het moment dat de eerste gegevens worden overgedragen. Altijd voor de opdracht tekenen, niet erna.
Alleen algemene voorwaarden
Algemene voorwaarden dekken niet de 13 punten. Sommige verwerkers proberen te volstaan met ‘AVG-compliant volgens algemene voorwaarden’. Onvoldoende. Eis een apart document.
Geen overzicht van subverwerkers
Bij een cloud-gehoste vernietigingsadministratie kan de verwerker zelf weer een cloudprovider gebruiken (AWS, Azure). Die is ook subverwerker. De lijst moet compleet zijn.
Geen update bij wijziging
Als de verwerker overname, verhuizing of nieuwe subverwerker heeft, moet de overeenkomst mee. Plan een jaarlijkse review.
Niet ondertekend
Klinkt elementair, maar komt vaak voor: een concept staat in een e-mail, niemand heeft het terug getekend. Vraag altijd om een ondertekende versie, bij voorkeur digitaal ondertekend via een erkende dienst.
Specifiek voor vernietigingspartijen
Bij een documentvernietigingsdienst horen nog een paar extra punten in de overeenkomst:
- DIN 66399 niveau (standaard P-5 voor alle AVG-plichtige documenten)
- Certificaat per opdracht met specifieke velden (zie Certificaat van Vernietiging)
- Mobiele vernietiging op locatie versus offsite transport (zie mobiele vs offsite shredding)
- VOG-screening personeel
- Verzegelde transportcontainers indien offsite
- Logging van alle locatiebezoeken
Wat als de verwerker weigert te tekenen?
Soms weigeren grote leveranciers een door jou opgesteld model en dwingen zij hun eigen versie af. In dat geval is het belangrijk om te toetsen op de 13 punten. Ontbreekt er iets, eis dan aanpassing. Als de leverancier volledig onbuigzaam is en niet voldoet: zoek een andere leverancier. Tegen AVG-boete loop je zelf op, niet zij.
Digitale ondertekening
Een verwerkersovereenkomst kan prima digitaal worden ondertekend via DocuSign, AdobeSign, Zynyo of vergelijkbare diensten. Bewaar de ondertekende versie met audit-log minimaal 5 jaar na einde van de overeenkomst.
Vernietiging uitbesteden maar geen overeenkomst? Bel ons of vraag een offerte aan via desnipperaar.nl. Standaard verwerkersovereenkomst meesturen, terug tekenen, klaar om in te zetten.