Verwerkersovereenkomst (AVG) opstellen - Template

Vul de onderstaande velden in. Op basis van uw invoer genereert onze AI een op maat gemaakt professioneel document.

Schakelt u een externe partij in die persoonsgegevens voor u verwerkt? Dan legt u de afspraken hierover vast in een verwerkersovereenkomst. Met dit template stelt u snel en overzichtelijk een overeenkomst op die aansluit bij uw specifieke situatie.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een schriftelijke afspraak tussen twee partijen: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke bepaalt waarvoor persoonsgegevens worden gebruikt. De verwerker verwerkt die gegevens namens de verwerkingsverantwoordelijke, maar neemt zelf geen beslissingen over het doel of de manier van verwerking.

In de overeenkomst staat onder meer welke persoonsgegevens worden verwerkt, voor welk doel, hoe lang de gegevens worden bewaard en welke beveiligingsmaatregelen de verwerker treft. Ook worden afspraken gemaakt over het melden van datalekken en over de vraag of de verwerker andere partijen mag inschakelen.

Een verwerkersovereenkomst is verplicht zodra een externe partij toegang heeft tot persoonsgegevens van uw klanten, medewerkers of gebruikers en die gegevens namens u verwerkt.

Wanneer gebruikt u een verwerkersovereenkomst?

✅ U schakelt een salarisadministrateur in die persoonsgegevens van uw medewerkers verwerkt.
✅ U maakt gebruik van een cloudleverancier die klantdata opslaat of beheert.
✅ U werkt samen met een marketingbureau dat e-mailadressen of klantgegevens gebruikt voor campagnes.
✅ U gebruikt een externe IT-leverancier die toegang heeft tot systemen met persoonsgegevens.
✅ U bent zelf verwerker en wilt de afspraken met de verwerkingsverantwoordelijke schriftelijk vastleggen.
✅ U wilt duidelijke afspraken maken over beveiliging, geheimhouding en datalekken met een externe partij.
❌ U heeft een privacyverklaring of cookiebeleid nodig voor uw website.
❌ U zoekt een overeenkomst tussen twee partijen die gezamenlijk en gelijkwaardig beslissen over de verwerking van persoonsgegevens.
❌ U wilt alleen interne afspraken vastleggen binnen uw eigen organisatie, zonder betrokkenheid van een externe partij.

Hoe stelt u de verwerkersovereenkomst op?

10 stappen

Bepaal de partijen. Stel vast wie de verwerkingsverantwoordelijke is en wie de verwerker is. Vul beide namen in.
Beschrijf het doel van de verwerking. Omschrijf zo concreet mogelijk waarvoor de persoonsgegevens worden gebruikt.
Geef aan welke persoonsgegevens worden verwerkt. Noem de soorten gegevens, zoals namen, e-mailadressen of bankrekeningnummers.
Beschrijf over wie de gegevens gaan. Geef aan om welke categorie personen het gaat, zoals klanten of medewerkers.
Vul de bewaartermijn in. Geef aan hoe lang de verwerker de gegevens mag bewaren.
Beschrijf de beveiligingsmaatregelen. Noem concrete maatregelen zoals versleutelde opslag of tweestapsverificatie.
Kies of subverwerkers zijn toegestaan. Geef aan of de verwerker andere partijen mag inschakelen.
Vul de looptijd in. Geef aan hoe lang de overeenkomst geldt, of laat dit open als de overeenkomst doorloopt zolang de samenwerking duurt.
Controleer de overeenkomst. Lees de gegenereerde tekst door en controleer of alle gegevens kloppen.
Verstuur en onderteken. Stuur de overeenkomst naar de andere partij en zorg dat beide partijen een ondertekend exemplaar bewaren.

Praktische aandachtspunten

Wees specifiek over het doel. Een vage omschrijving van het verwerkingsdoel kan later tot onduidelijkheid leiden. Omschrijf zo concreet mogelijk waarvoor de gegevens worden gebruikt.
Leg beveiligingsmaatregelen concreet vast. Algemene omschrijvingen zijn minder duidelijk dan concrete maatregelen, zoals versleuteling, toegangsbeveiliging of regelmatige back-ups.
Denk na over subverwerkers. Als de verwerker gebruikmaakt van andere partijen, is het verstandig dit vooraf schriftelijk te regelen.
Bewaar een ondertekend exemplaar. Zorg dat beide partijen beschikken over een ondertekende versie van de overeenkomst.
Houd de overeenkomst actueel. Als de samenwerking verandert, is het verstandig de overeenkomst aan te passen.
Maak duidelijke afspraken over datalekken. Leg vast hoe snel de verwerker een datalek moet melden en via welk kanaal.

Voorbeelden van situaties waarbij u een verwerkersovereenkomst nodig heeft

Salarisadministrateur

Een ondernemer schakelt een extern administratiekantoor in voor de salarisverwerking. Het kantoor heeft toegang tot namen, adressen en salarisgegevens van medewerkers. De ondernemer is verwerkingsverantwoordelijke; het kantoor is de verwerker. Zij leggen hun afspraken vast in een verwerkersovereenkomst.

Cloudleverancier voor klantdata

Een webshop slaat klantgegevens op via een externe clouddienst. De cloudleverancier heeft technische toegang tot namen, e-mailadressen en bestelgeschiedenissen. De webshop sluit een verwerkersovereenkomst met de cloudleverancier.

Marketingbureau voor e-mailcampagnes

Een bedrijf laat een marketingbureau nieuwsbrieven versturen naar klanten. Het bureau verwerkt daarvoor e-mailadressen en namen. Het bedrijf legt in een verwerkersovereenkomst vast hoe het bureau met deze gegevens mag omgaan.

IT-leverancier met systeemtoegang

Een organisatie schakelt een IT-bedrijf in voor het beheer van haar systemen. Het IT-bedrijf heeft daardoor toegang tot persoonsgegevens van medewerkers en klanten. Beide partijen sluiten een verwerkersovereenkomst om afspraken over beveiliging en geheimhouding vast te leggen.

Wat doet u nadat u de verwerkersovereenkomst heeft opgesteld?

Stuur de overeenkomst naar de andere partij. Deel de overeenkomst met de verwerker of verwerkingsverantwoordelijke en geef de andere partij de gelegenheid om de inhoud te beoordelen.
Bespreek eventuele aanpassingen. Als de andere partij opmerkingen heeft, bespreek deze dan en pas de overeenkomst indien nodig aan voordat u ondertekent.
Onderteken de overeenkomst. Zorg dat beide partijen de overeenkomst ondertekenen. Dit kan op papier of digitaal, mits beide partijen daarmee instemmen.
Bewaar een ondertekend exemplaar. Sla de ondertekende overeenkomst op een veilige plek op en zorg dat beide partijen een eigen exemplaar hebben.
Evalueer de overeenkomst periodiek. Controleer regelmatig of de afspraken nog aansluiten bij de actuele samenwerking en pas de overeenkomst aan als de situatie verandert.

Veelgestelde vragen

Wanneer ben ik verplicht een verwerkersovereenkomst te sluiten?

U bent verplicht een verwerkersovereenkomst te sluiten zodra een externe partij persoonsgegevens verwerkt namens uw organisatie. Dit geldt bijvoorbeeld voor een salarisadministrateur, een cloudleverancier of een marketingbureau dat klantgegevens gebruikt.

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?

De verwerkingsverantwoordelijke bepaalt waarvoor persoonsgegevens worden gebruikt en hoe. De verwerker verwerkt die gegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke, zonder zelf te beslissen over het doel of de manier van verwerking.

Mag de verwerker andere partijen inschakelen voor de verwerking?

Dat hangt af van wat u afspreekt in de verwerkersovereenkomst. U kunt vastleggen dat de verwerker alleen met uw voorafgaande schriftelijke toestemming andere partijen mag inschakelen, of dat dit helemaal niet is toegestaan.

Wat moet ik doen als er een datalek plaatsvindt?

In de verwerkersovereenkomst legt u vast dat de verwerker een datalek zo snel mogelijk aan u meldt. Als verwerkingsverantwoordelijke bent u vervolgens verantwoordelijk voor het beoordelen van het lek en het nemen van de juiste vervolgstappen.

Hoe lang geldt een verwerkersovereenkomst?

U kunt een vaste looptijd afspreken, maar de overeenkomst kan ook doorlopen zolang de verwerker persoonsgegevens voor u verwerkt. De overeenkomst eindigt in ieder geval als de samenwerking tussen beide partijen stopt en er geen persoonsgegevens meer worden verwerkt.