Verwerkersovereenkomsten: Waarom je verder moet kijken dan het contract 

De AVG vereist een verwerkersovereenkomst, maar privacy-compliance vraagt méér: kijk verder dan het contract en beoordeel de hele verwerkingsketen.  

Een verwerkersovereenkomst is essentieel onder de AVG. Maar in de praktijk merk ik vaak dat organisaties zich blindstaren op het contract zelf. Terwijl échte privacy-compliance vraagt om een bredere blik: wie is waarvoor verantwoordelijk in de keten? En hoe borg je dit structureel? In deze blog neem ik je mee in het juridisch kader, geef ik praktijkvoorbeelden en laat ik zien waarom het loont om verder te kijken dan de letter van artikel 28 AVG.  

Het juridisch fundament – Artikel 28 AVG 

De Algemene Verordening Gegevensbescherming schrijft voor dat een verwerkingsverantwoordelijke alleen verwerkers mag inschakelen die passende technische en organisatorische maatregelen treffen. De samenwerking moet vastgelegd worden in een schriftelijke overeenkomst, die onder meer het volgende regelt: 

• verwerking uitsluitend op instructie; 

• geheimhoudingsplicht; 

• beveiligingsmaatregelen; 

• omgang met subverwerkers; 

• ondersteuning bij rechten van betrokkenen; 

• auditmogelijkheden; 

• dataretentie en -teruggave.  

Wie is wie? Functionele rolverdeling in de keten 

De Europese toezichthouders (EDPB) benadrukken dat je niet alleen op papier moet kijken of iemand een verwerker of verantwoordelijke is. De feitelijke rolverdeling in de praktijk is leidend. Een softwareleverancier kan in de ene samenwerking verwerker zijn, en in een andere verantwoordelijke. Het gaat erom wie het doel en de middelen bepaalt. Denk aan situaties zoals: consultants die data analyseren; IT-dienstverleners met toegang tot klantendata; samenwerkingsverbanden met gezamenlijke data-inzichten.  

De ketenbenadering – Beyond the contract 

Als jurist krijg ik regelmatig de vraag om verwerkersovereenkomsten op te stellen of te beoordelen. Mijn advies is dan: kijk verder dan het contract alleen. Stel vragen als: 

• Wie heeft wie ingeschakeld in de keten? 

• Zijn de subverwerkers bekend, beoordeeld én goedgekeurd? 

• Is het intern duidelijk namens wie een contract wordt gesloten? 

• Sluiten de contractuele verplichtingen aan op de technische werkelijkheid? 

Bijvoorbeeld: stel, jouw verwerker schakelt een subverwerker buiten de EER in. Zijn de waarborgen voor die doorgifte geregeld? En is dit afgestemd met jouw Functionaris Gegevensbescherming?  

Aanbevelingen – wat kun je nú doen? 

Voor Verwerkingsverantwoordelijken: 

1. Stel een verwerkersregister op (koppel aan DPIA’s). 

2. Toets de rol van de partij: echt géén zeggenschap over doel en middelen? 

3. Gebruik waar mogelijk standaardbepalingen van de EC. 

4. Hanteer een goedkeuringsproces voor subverwerkers. 

5. Plan periodieke audits/self-assessments.

Voor Verwerkers: 

1. Wees transparant over subverwerkers en doorgiften. 

2. Borg passende maatregelen (art. 32 AVG). 

3. Documenteer instructies en conflicten. 

4. Houd overzicht van je overeenkomsten en verantwoordelijkheden. 

5. Laat bij twijfel een juridische toetsing doen.  

Conclusie

Een solide verwerkersovereenkomst is het begin, niet het einde. Door de ketenbenadering toe te passen, maak je jouw privacybeleid écht toekomstbestendig. 

Wil je sparren over jouw keten of verwerkerscontracten? Neem contact op, ik denk graag mee.