Een sterke verwerkersovereenkomst? Aanbevelingen van onze experts (Leagl)

Bedrijven werken vandaag zelden alleen.

Cloudsoftware, marketingtools, IT-providers, payroll partners, boekhoudsoftware… bijna elke organisatie laat persoonsgegevens verwerken door derden.

En daar wringt het vaak.

Veel ondernemingen hebben wel een verwerkersovereenkomst, maar weten niet of die juridisch sterk genoeg is. Of nog vaker: ze hebben er helemaal geen.

Nochtans is dat geen formaliteit. Onder de GDPR is een verwerkersovereenkomst verplicht wanneer een externe partij persoonsgegevens verwerkt in opdracht van een organisatie.

Maar een overeenkomst hebben is één ding.

Een goede overeenkomst hebben is iets anders.

In deze blog leggen we uit:

• wanneer je zo’n overeenkomst nodig hebt

• wat er minimaal in moet staan

• waar het in de praktijk vaak misloopt

• hoe je dit als onderneming correct aanpakt

Wat is een verwerkersovereenkomst precies?

Een verwerkersovereenkomst regelt hoe een externe partij (de verwerker) persoonsgegevens verwerkt in opdracht van een organisatie (de verwerkingsverantwoordelijke).

Denk aan:

• softwareleveranciers

• hostingproviders

• HR-tools

• marketingplatformen

• Externe IT-support

• cloudopslag

• externe consultants met toegang tot data

De overeenkomst legt vast:

• wat er verwerkt wordt

• waarom

• hoelang

• hoe beveiliging geregeld is

• wie waarvoor verantwoordelijk is

Ze vormt dus de juridische basis van vertrouwen tussen partijen.

Wanneer is een verwerkersovereenkomst verplicht?

Zodra een externe partij persoonsgegevens verwerkt namens jouw organisatie.

Dus niet wanneer ze zelf bepalen wat er met data gebeurt, maar wanneer zij handelen in jouw opdracht.

Voorbeelden:

✔ Een boekhouder die personeelsgegevens verwerkt

✔ Een CRM-platform dat klantgegevens opslaat

✔ Een cloudtool waarin contracten staan

✔ Een marketingbureau dat mailinglijsten beheert

Geen overeenkomst = in principe niet GDPR-conform.

Wat moet er minimaal in staan volgens de GDPR?

De wetgeving is vrij duidelijk.

Een verwerker moet onder meer:

• vertrouwelijkheid garanderen

• passende beveiligingsmaatregelen nemen

• alleen handelen op instructie van de opdrachtgever

• geen subverwerkers inschakelen zonder toestemming

• helpen bij rechten van betrokkenen

• meewerken bij datalekken

• gegevens wissen of teruggeven na afloop

Dit volgt rechtstreeks uit de verplichtingen voor verwerkers in de GDPR.

Maar dat is enkel het minimum.

Waar het in de praktijk vaak fout loopt

In audits zien we vaak dezelfde problemen terugkomen.

1. Generieke templates zonder risico-analyse

Veel ondernemingen gebruiken standaarddocumenten die niet aansluiten bij de echte verwerking. Een marketingtool krijgt dan dezelfde clausules als een medische databank.

2. Onduidelijke instructies

“Verwerken volgens instructies van de klant” klinkt goed, maar:

Welke instructies?

Hoe worden die gegeven?

Wat als ze veranderen?

Vaak ontbreekt operationele duidelijkheid.

3. Geen controle op subverwerkers

Cloudleveranciers werken met tientallen subverwerkers.

Zonder transparantie weet je niet:

• waar data staat

• wie er toegang heeft

• welk land betrokken is

Dat creëert een groot risico.

4. Geen afspraken rond incidenten

Wat is een datalek?

Wanneer moet men melden?

Wie informeert wie?

Veel overeenkomsten blijven hier te vaag.

5. Geen exit-regeling

Wat gebeurt er met data bij beëindiging?

• wissen

• teruggeven

• migreren

• archiveren

Zonder afspraken ontstaat onzekerheid.

Hoe diepgaand moet je verwerkersovereenkomst zijn?

Elke verwerkersovereenkomst moet voldoende diepgang hebben, maar de inhoud moet afgestemd zijn op de concrete verwerking en het reële risicoprofiel.

Dit is cruciaal wanneer:

✔ gevoelige gegevens verwerkt worden

✔ grote volumes betrokken zijn

✔ meerdere systemen gekoppeld zijn

✔ internationale dataflows bestaan

✔ veel subverwerkers actief zijn

✔ processen afhankelijk zijn van de verwerker

✔ reputatieschade mogelijk groot is

Met andere woorden: wanneer data operationeel belangrijk wordt.

Hoe pak je dit correct aan als onderneming?

Een goede aanpak bestaat uit vier stappen.

1. Identificeer alle verwerkers

Veel organisaties onderschatten dit.

Maak een volledig overzicht van:

• software

• externe partners

• consultants

• hosting

• tools

2. Analyseer het risico per verwerking

Niet elke samenwerking vereist dezelfde contractuele invulling.

DPA’s moeten afgestemd zijn op de concrete verwerking en het reële risicoprofiel.

DPA = Data Protection Assessment

Bekijk:

• type data

• gevoeligheid

• schaal

• afhankelijkheid

• impact bij incident

3. Stem contract en realiteit op elkaar af

De overeenkomst moet aansluiten op:

• technische beveiliging

• operationele processen

• governance

• incident management

Niet alleen juridisch correct, ook praktisch uitvoerbaar.

4. Evalueer periodiek

Een verwerkersovereenkomst is geen eenmalig document.

Software verandert. Leveranciers wijzigen infrastructuur. Wetgeving evolueert.

Regelmatige herziening is noodzakelijk.

Wat met standaard verwerkersovereenkomsten van leveranciers?

Veel dienstverleners zoals cloudplatformen, softwareleveranciers of internationale IT-providers, werken met standaard verwerkersovereenkomsten of toetredingscharters.

Wie hun diensten gebruikt, aanvaardt automatisch dat kader.

Dat betekent dat de contractuele spelregels vaak al vastliggen vóór je ze grondig hebt geanalyseerd.

Voor ondernemingen brengt dit enkele belangrijke aandachtspunten mee:

• nagaan welke verwerkersovereenkomsten je al hebt aanvaard

• begrijpen welke verplichtingen en beperkingen daarin staan

• controleren of ze aansluiten bij je werkelijke verwerking

• documenteren dat je ze hebt gelezen en beoordeeld

• ze kunnen voorleggen bij audits of controles

Met andere woorden: governance stopt niet bij het afsluiten van een overeenkomst.

Ze begint bij het begrijpen van de contracten die je organisatie dagelijks gebruikt.

Wie met externe verwerkers werkt, moet niet alleen zorgen dat er een overeenkomst bestaat, maar ook dat die gekend, begrepen en beheerd wordt binnen de organisatie.

Waarom dit meer is dan compliance

Een sterke verwerkersovereenkomst beschermt:

• je klanten

• je reputatie

• je operationele continuïteit

• je aansprakelijkheidspositie

Maar vooral: ze maakt samenwerking transparant.

En transparantie is de kern van vertrouwen in dataverwerking.

Hoe LEAGL hierbij helpt

Veel ondernemingen weten niet: 

• of ze alle verwerkers in kaart hebben

• of hun contracten voldoende zijn

• of risico’s correct worden afgedekt

Daarom starten we vaak met een juridische scan (LEAGL Scan) van bestaande overeenkomsten.

We kijken onder meer naar:

• contractuele volledigheid

• afstemming met echte processen

• risicogebaseerde aanpak

• governance en controlemechanismen

Zo wordt compliance concreet en beheersbaar.