Een sterke verwerkersovereenkomst? Aanbevelingen van onze experts.
Bedrijven werken vandaag zelden alleen.
Cloudsoftware, marketingtools, IT-providers, payroll partners, boekhoudsoftware… bijna elke organisatie laat persoonsgegevens verwerken door derden.
En daar wringt het vaak.
Veel ondernemingen hebben wel een verwerkersovereenkomst, maar weten niet of die juridisch sterk genoeg is. Of nog vaker: ze hebben er helemaal geen.
Nochtans is dat geen formaliteit. Onder de GDPR is een verwerkersovereenkomst verplicht wanneer een externe partij persoonsgegevens verwerkt in opdracht van een organisatie.
Maar een overeenkomst hebben is één ding.
Een goede overeenkomst hebben is iets anders.
In deze blog leggen we uit:
wanneer je zo’n overeenkomst nodig hebt
wat er minimaal in moet staan
waar het in de praktijk vaak misloopt
hoe je dit als onderneming correct aanpakt
Wat is een verwerkersovereenkomst precies?
Een verwerkersovereenkomst regelt hoe een externe partij (de verwerker) persoonsgegevens verwerkt in opdracht van een organisatie (de verwerkingsverantwoordelijke).
Denk aan:
softwareleveranciers
hostingproviders
HR-tools
marketingplatformen
Externe IT-support
cloudopslag
externe consultants met toegang tot data
De overeenkomst legt vast:
wat er verwerkt wordt
waarom
hoelang
hoe beveiliging geregeld is
wie waarvoor verantwoordelijk is
Ze vormt dus de juridische basis van vertrouwen tussen partijen.
Wanneer is een verwerkersovereenkomst verplicht?
Zodra een externe partij persoonsgegevens verwerkt namens jouw organisatie.
Dus niet wanneer ze zelf bepalen wat er met data gebeurt, maar wanneer zij handelen in jouw opdracht.
Voorbeelden:
✔ Een boekhouder die personeelsgegevens verwerkt
✔ Een CRM-platform dat klantgegevens opslaat
✔ Een cloudtool waarin contracten staan
✔ Een marketingbureau dat mailinglijsten beheert
Geen overeenkomst = in principe niet GDPR-conform.
Wat moet er minimaal in staan volgens de GDPR?
De wetgeving is vrij duidelijk.
Een verwerker moet onder meer:
vertrouwelijkheid garanderen
passende beveiligingsmaatregelen nemen
alleen handelen op instructie van de opdrachtgever
geen subverwerkers inschakelen zonder toestemming
helpen bij rechten van betrokkenen
meewerken bij datalekken
gegevens wissen of teruggeven na afloop
Dit volgt rechtstreeks uit de verplichtingen voor verwerkers in de GDPR.
Maar dat is enkel het minimum.
Waar het in de praktijk vaak fout loopt
In audits zien we vaak dezelfde problemen terugkomen.
1. Generieke templates zonder risico-analyse
Veel ondernemingen gebruiken standaarddocumenten die niet aansluiten bij de echte verwerking. Een marketingtool krijgt dan dezelfde clausules als een medische databank.
2. Onduidelijke instructies
“Verwerken volgens instructies van de klant” klinkt goed, maar:
Welke instructies?
Hoe worden die gegeven?
Wat als ze veranderen?
Vaak ontbreekt operationele duidelijkheid.
3. Geen controle op subverwerkers
Cloudleveranciers werken met tientallen subverwerkers.
Zonder transparantie weet je niet:
waar data staat
wie er toegang heeft
welk land betrokken is
Dat creëert een groot risico.
4. Geen afspraken rond incidenten
Wat is een datalek?
Wanneer moet men melden?
Wie informeert wie?
Veel overeenkomsten blijven hier te vaag.
5. Geen exit-regeling
Wat gebeurt er met data bij beëindiging?
wissen
teruggeven
migreren
archiveren
Zonder afspraken ontstaat onzekerheid.
Hoe diepgaand moet je verwerkersovereenkomst zijn?
Elke verwerkersovereenkomst moet voldoende diepgang hebben, maar de inhoud moet afgestemd zijn op de concrete verwerking en het reële risicoprofiel.
Dit is cruciaal wanneer:
✔ gevoelige gegevens verwerkt worden
✔ grote volumes betrokken zijn
✔ meerdere systemen gekoppeld zijn
✔ internationale dataflows bestaan
✔ veel subverwerkers actief zijn
✔ processen afhankelijk zijn van de verwerker
✔ reputatieschade mogelijk groot is
Met andere woorden: wanneer data operationeel belangrijk wordt.
Hoe pak je dit correct aan als onderneming?
Een goede aanpak bestaat uit vier stappen.
1. Identificeer alle verwerkers
Veel organisaties onderschatten dit.
Maak een volledig overzicht van:
software
externe partners
consultants
hosting
tools
2. Analyseer het risico per verwerking
Niet elke samenwerking vereist dezelfde contractuele invulling.
DPA’s moeten afgestemd zijn op de concrete verwerking en het reële risicoprofiel.
DPA = Data Protection Assessment
Bekijk:
type data
gevoeligheid
schaal
afhankelijkheid
impact bij incident
3. Stem contract en realiteit op elkaar af
De overeenkomst moet aansluiten op:
technische beveiliging
operationele processen
governance
incident management
Niet alleen juridisch correct, ook praktisch uitvoerbaar.
4. Evalueer periodiek
Een verwerkersovereenkomst is geen eenmalig document.
Software verandert. Leveranciers wijzigen infrastructuur. Wetgeving evolueert.
Regelmatige herziening is noodzakelijk.
Wat met standaard verwerkersovereenkomsten van leveranciers?
Veel dienstverleners zoals cloudplatformen, softwareleveranciers of internationale IT-providers, werken met standaard verwerkersovereenkomsten of toetredingscharters.
Wie hun diensten gebruikt, aanvaardt automatisch dat kader.
Dat betekent dat de contractuele spelregels vaak al vastliggen vóór je ze grondig hebt geanalyseerd.
Voor ondernemingen brengt dit enkele belangrijke aandachtspunten mee:
nagaan welke verwerkersovereenkomsten je al hebt aanvaard
begrijpen welke verplichtingen en beperkingen daarin staan
controleren of ze aansluiten bij je werkelijke verwerking
documenteren dat je ze hebt gelezen en beoordeeld
ze kunnen voorleggen bij audits of controles
Met andere woorden: governance stopt niet bij het afsluiten van een overeenkomst.
Ze begint bij het begrijpen van de contracten die je organisatie dagelijks gebruikt.
Wie met externe verwerkers werkt, moet niet alleen zorgen dat er een overeenkomst bestaat, maar ook dat die gekend, begrepen en beheerd wordt binnen de organisatie.
Waarom dit meer is dan compliance
Een sterke verwerkersovereenkomst beschermt:
je klanten
je reputatie
je operationele continuïteit
je aansprakelijkheidspositie
Maar vooral: ze maakt samenwerking transparant.
En transparantie is de kern van vertrouwen in dataverwerking.
Hoe LEAGL hierbij helpt
Veel ondernemingen weten niet:
of ze alle verwerkers in kaart hebben
of hun contracten voldoende zijn
of risico’s correct worden afgedekt
Daarom starten we vaak met een juridische scan (LEAGL Scan) van bestaande overeenkomsten.
We kijken onder meer naar:
contractuele volledigheid
afstemming met echte processen
risicogebaseerde aanpak
governance en controlemechanismen
Zo wordt compliance concreet en beheersbaar.
Hulp nodig?
Veel organisaties ontdekken pas tijdens audits welke verwerkersovereenkomsten ze effectief hebben aanvaard. Een gerichte juridische scan brengt dat snel en gestructureerd in kaart. Een verwerkersovereenkomst is geen formaliteit. Het is een structureel onderdeel van verantwoord databeheer.
En in een digitale economie is dat geen detail maar een fundament.
Wil je weten of jouw overeenkomsten juridisch sterk genoeg zijn?
Dan kan een LEAGL SCAN snel duidelijkheid brengen.
Meer weten over GDPR in de praktijk?
Wil je breder inzicht in hoe je jouw organisatie écht GDPR-proof maakt, niet alleen contractueel, maar ook operationeel?
In ons recente e-book “GDPR in 2026: ben jij écht in orde?” bundelen we de belangrijkste aandachtspunten voor ondernemingen, inclusief praktische tips, veelgemaakte fouten en concrete stappen om risico’s te beperken.
Download het gratis via onderstaande link: