De afgelopen weken is het binnen privacyland weer een hot topic: de verwerkersovereenkomst. Er werden hier en daar modellen ontwikkeld, er werd een AP-onderzoek over verwerkersovereenkomsten gedaan binnen de private sector, de European Data Protection Board publiceerde een voorlopige zienswijze en de Europese Commissie publiceerde een art.28-model. Maar steeds vaker zien wij dat er juridische onjuistheden in verwerkersovereenkomsten ontstaan, waardoor organisaties grote risico’s lopen. In deze blogserie beschrijf ik twintig veelgemaakte fouten in de verwerkersovereenkomst. Zodat je ze voortaan herkent én voorkomt. In dit deel volgen de eerste tien.

1. Artikel 28 uit de AVG wordt letterlijk overgenomen

Een bekend misverstand is dat men denkt dat de verwerkersovereenkomst alleen in artikel 28 AVG is geregeld. Dat is niet zo. Artikel 28 AVG vormt slechts het geraamte en moet niet letterlijk uit de wet worden overgenomen. Onderdelen uit de verwerkersovereenkomst volgen ook uit andere artikelen uit de AVG. Hierbij kun je denken aan artikelen 32 (Treffen van passende technische maatregelen), 33 (Datalekken melden aan de toezichthoudende autoriteit), 34 (Datalekken melden aan betrokkene(n)), 35 (DPIA), 37 en 39 (bepalingen over de FG) en 40(aansluiten bij gedragscode).

Maak deze afspraken vooral specifiek. De afspraken over datalekken moeten bijvoorbeeld gaan over het tijdstip van melden, afzonderlijk melden, voorlopige melding aan de AP en wie de contactpersoon is.

Het geraamte bestaat uit de volgende onderdelen:

  • De persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke;
  • De verwerker neemt passende beveiligingsmaatregelen en waarborgt de geheimhouding; 
  • De verwerker schakelt alleen een sub-verwerker in met toestemming van de verwerkingsverantwoordelijke en legt deze dezelfde verplichtingen op als waar de verwerker zelf aan is gebonden;
  • De verwerker staat de verwerkingsverantwoordelijke bij met het melden van datalekken en uitvoeren van data protection impact assessments en verstrekt daarvoor de benodigde informatie. 
  • Na afloop van de dienstverlening moeten de gegevens worden verwijderd of – als de verwerkingsverantwoordelijke daarvoor kiest – worden teruggegeven.
  • De verwerker moet meewerken aan toezicht door de verwerkingsverantwoordelijke.

2. De afspraken, het doel, de aard en de context van een verwerking zijn niet SMART

Nu we het toch over SMART hebben: dat geldt ook voor het doel, de aard en de context van de verwerkersovereenkomst. Er moet beschreven worden welke activiteiten (verwerkingen) er door de verwerkingsverantwoordelijke worden uitbesteed aan een verwerker. En ook onder welke omstandigheden, met welke persoonsgegevens, enzovoorts dat gebeurt. Dit volstaat dus niet: in het kader van de hoofdovereenkomst.

3.  Er worden verkeerde termen, verwijzingen en definities gebruikt

‘Voor de definities en begrippen in een verwerkersovereenkomst wordt naar artikel 1 AVG verwezen.’ Als je denkt dat de overeenkomst voor 25 mei 20181 was afgesloten, dan heb je het helaas mis. Artikel 1 Wbp2 beschreef de definities, maar onder de AVG is dat artikel 4 AVG geworden. Wees ook voorzichtig met termen zoals ‘toestemming’, ‘gerechtvaardigd’ en ‘hoog risico’. Die betekenen – in de zin van de AVG – iets anders.

4. Hij voldoet niet aan aanvullende wet- en regelgeving

Een verwerkersovereenkomst moet – afhankelijk van de situatie – ook aan de vereisten uit aanvullende wet- en regelgeving voldoen. Bijvoorbeeld:

  • het Burgerlijk Wetboek (BW);
  • de Faillissementswet (Fw);
  • de Wet Publieke Gezondheid (WPG);
  • de Wet Politiegegevens (Wpg);
  • de Wet op de Economische Delicten (Wet ED);
  • de Telecommunicatiewet (Tw);
  • de Bepalingen uit het internationaal contractenrecht en/of internationale verdragen (Rome I of II – verordening).


Bedenk dus goed wat het volledige juridisch kader is.

5. De informatiebeveiliging voldoet niet

Een verwerkersovereenkomst is niet alleen juridisch. Informatiebeveiliging speelt ook een rol. Om te bepalen of er passende en organisatorische maatregelen zijn getroffen, moet je kijken naar een CISO, Security Officer of een andere IB-specialist. Veel organisaties doen dat niet. Daarnaast kan er sprake zijn van sectorspecifieke informatiebeveiligingsnormen. Denk hierbij aan de Baseline Informatiebeveiliging Overheid, NEN 7510, ISO 9001, ISO 17799 of ISO 27000-achtige normen. Gebruik dus niet alleen het standaardlijstje uit het model van de Europese Commissie.

6. Artikel 28 lid 2 AVG is niet opgenomen of verkeerd benoemd

De bepaling in artikel 28 lid 2 AVG is in veel verwerkersovereenkomsten niet opgenomen of verkeerd benoemd, terwijl dit een belangrijke bepaling is. Als een verwerker ineens op een andere verwerker overschakelt, dan brengt dat op zichzelf al risico’s met zich mee. De keten is immers zo sterk als zijn zwakste schakel.

7. De DPIA wordt pas achteraf uitgevoerd

Wist je dat er een DPIA moet worden uitgevoerd voordat er een passende verwerkersovereenkomst kan worden opgesteld? Wij merken dat een DPIA vaak pas achteraf wordt uitgevoerd. Het gevolg daarvan is dat de verwerkersovereenkomst nooit passend is en achteraf aangepast moet worden.

8. De verwerker mag de geleverde data verder verwerken voor eigen doeleinde(n)

We komen dit regelmatig tegen in verwerkersovereenkomsten: ‘De verwerker mag de geleverde data verder verwerken voor eigen doeleinde(n)’. De werking van artikel 28 lid 10 AVG laat dit niet toe. Daarnaast kun je jezelf afvragen of de verwerker in dit geval op de juiste manier is gekwalificeerd.

9. Geheimhoudingsafspraken zijn niet passend

We zien regelmatig dat geheimhoudingsafspraken redelijk basic en niet passend zijn. Het kan financieel gezien heel gevaarlijk zijn om een datalek te veroorzaken. Bij een beursgenoteerde onderneming zou de beurskoers bijvoorbeeld kunnen dalen. Bedenk dus goed binnen welke context jij een geheimhoudingsclausule afspreekt en zorg ervoor dat je hier voldoende aandacht aan besteedt.

10. De afspraken over datalekken voldoen niet aan de eisen uit de AVG

We zien vaak dat de afspraken over datalekken niet voldoen aan de eisen uit de AVG. Bijvoorbeeld: ‘het informeren van de Verwerkingsverantwoordelijke dient binnen 24 of 48 uur na ontdekking te gebeuren’. Artikel 33 lid 2 AVG verhindert dat en overweging 86 AVG impliceert dat het onmiddellijk, in alle redelijkheid en zonder onredelijke vorm van vertraging moet gebeuren. Dus beste verwerker, hoe snel kun je het contact met de Verwerkingsverantwoordelijke leggen? Een telefoongesprek is zo gepiept en een mail is binnen een tel verzonden. Dan is 24 uur dus niet redelijk.

1 Datum inwerkingtreding Algemene Verordening Gegevensbescherming.
2 Wet bescherming persoonsgegevens


Over de auteur

Terug naar het overzicht