Wat is Verwerkersovereenkomst?

Bijgewerkt: 11 maart 2026

Een verwerkersovereenkomst is een wettelijk verplicht contract tussen een verwerkingsverantwoordelijke (het bedrijf dat bepaalt waarom en hoe persoonsgegevens worden verwerkt) en een verwerker (de partij die persoonsgegevens namens dat bedrijf verwerkt). De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat deze overeenkomst schriftelijk wordt vastgelegd voordat de verwerking begint. Zonder verwerkersovereenkomst is het uitbesteden van gegevensverwerking een overtreding van de AVG.

Hoe werkt verwerkersovereenkomst?

De verwerkersovereenkomst is geregeld in artikel 28 van de AVG. Zodra je een externe partij inschakelt die namens jouw organisatie persoonsgegevens verwerkt (denk aan een salarisadministrateur, cloudleverancier, e-mailmarketingplatform of IT-beheerder) ben je verplicht een verwerkersovereenkomst te sluiten.

De overeenkomst regelt minimaal: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorie betrokkenen, en de rechten en plichten van de verwerkingsverantwoordelijke. Daarnaast bevat het afspraken over beveiliging, geheimhouding, inschakeling van subverwerkers, meldplicht bij datalekken, en het teruggeven of vernietigen van gegevens bij beeindiging van de overeenkomst.

In de praktijk bieden veel SaaS-leveranciers een standaard verwerkersovereenkomst aan als bijlage bij hun algemene voorwaarden. Controleer altijd of deze voldoet aan jouw specifieke situatie: welke gegevens verwerk je precies, worden er bijzondere persoonsgegevens verwerkt (medische gegevens, BSN), en waar worden de gegevens opgeslagen?

Voor de zorgsector gelden aanvullende eisen: medische persoonsgegevens zijn bijzondere persoonsgegevens waarvoor strengere beveiligingseisen gelden. De verwerkersovereenkomst moet expliciet ingaan op de aard van deze gegevens en de aanvullende maatregelen die de verwerker treft.

Een veelgemaakte fout is het vergeten van subverwerkers. Als jouw verwerker een derde partij inschakelt (bijvoorbeeld een hostingprovider), moet dit in de verwerkersovereenkomst zijn geregeld inclusief een goedkeuringsprocedure.

Waarom is dit risicovol voor MKB-bedrijven?

De Autoriteit Persoonsgegevens kan boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor het ontbreken van een verwerkersovereenkomst. Maar het financiele risico is niet het enige probleem: zonder verwerkersovereenkomst ontbreekt de contractuele basis voor beveiligingseisen, meldplicht bij datalekken en het teruggeven van gegevens bij beeindiging.

Voor MKB-bedrijven in de zorg en IT is dit bijzonder relevant: zij verwerken vaak gevoelige gegevens via meerdere externe partijen. Een ontbrekende verwerkersovereenkomst bij een van die schakels maakt de hele keten kwetsbaar.

Hoe beheer je dit correct?

1Inventariseer alle externe partijen die persoonsgegevens voor jou verwerken en controleer of er een verwerkersovereenkomst is
2Gebruik de standaard verwerkersovereenkomst van de leverancier als vertrekpunt, maar controleer of deze aansluit bij jouw specifieke verwerkingen
3Leg vast welke subverwerkers de verwerker inschakelt en eis een goedkeuringsprocedure bij wijzigingen
4Controleer jaarlijks of verwerkersovereenkomsten nog actueel zijn, vooral bij wijziging van dienstverlening of dataopslag
5Bewaar verwerkersovereenkomsten samen met het hoofdcontract in je contractbeheersysteem voor audit-readiness