Schakel je een externe partij in die persoonsgegevens voor je verwerkt, dan verplicht artikel 28 AVG een verwerkersovereenkomst. Veel ondernemers weten niet wanneer dat speelt. Deze uitleg maakt het concreet.
Wat is een verwerker?
Een verwerker verwerkt gegevens in jouw opdracht zonder zelf het doel te bepalen. Denk aan je hosting, je e-mailtool, je boekhoudpakket of een extern supportplatform. Jij blijft verwerkingsverantwoordelijke.
Inventariseer je leveranciers
Maak een lijst van alle tools en partijen die klantgegevens zien: hosting, e-mail, CRM, boekhouding, betaaldienst en support. Voor elk daarvan ga je na of er een verwerkersovereenkomst is.
Sluit of aanvaard de overeenkomst
De meeste leveranciers hebben een standaard verwerkersovereenkomst klaarliggen, vaak online te aanvaarden. Vraag ze op en bewaar een kopie of bevestiging.
Controleer de verplichte afspraken
Check of de artikel 28-onderwerpen erin staan:
- Onderwerp, duur, aard en soorten gegevens.
- Beveiliging en geheimhouding.
- Voorwaarden voor subverwerkers.
- Hulp bij verzoeken en datalekken.
- Teruggave of wissing na afloop.
Verwerker of niet? Snel inschatten
| Partij | Verwerker? | Overeenkomst nodig? |
|---|---|---|
| Hosting / cloud | Ja | Ja |
| E-mailmarketingtool | Ja | Ja |
| Boekhoud- / CRM-pakket | Ja | Ja |
| Betaaldienst (PSP) | Vaak zelf verantwoordelijke | Nee |
| Accountant met eigen taak | Zelf verantwoordelijke | Nee |
Let op doorgifte buiten de EU
Staat de leverancier op servers buiten de EU, controleer dan het doorgiftemechanisme, zoals standaardcontractbepalingen of het EU-VS Data Privacy Framework. Vermeld de doorgifte ook in je privacyverklaring.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis