Is een verwerkersovereenkomst hetzelfde als een privacyverklaring?

Nee. Een privacyverklaring informeert je klanten over hoe je hun gegevens verwerkt. Een verwerkersovereenkomst is een contract tussen jou en een partij die namens jou gegevens verwerkt, zoals je hostingpartij of nieuwsbrieftool. De privacyverklaring is extern gericht, de verwerkersovereenkomst is een afspraak achter de schermen.

Telt het als verwerkersovereenkomst als het in de algemene voorwaarden staat?

Soms. Bij sommige diensten is de verwerkersovereenkomst onderdeel van de algemene voorwaarden of servicevoorwaarden. Dat kan voldoende zijn, mits de vereiste onderdelen uit artikel 28 AVG erin staan. Check of er een apart document is dat specifiek over gegevensverwerking gaat. Dat is betrouwbaarder dan een paragraaf in de kleine lettertjes.

Moet ik de verwerkersovereenkomst bewaren?

Ja. De AVG verwacht dat je kunt aantonen dat je verwerkersovereenkomsten hebt geregeld. Bewaar een kopie of link naar het document, samen met de datum waarop je het hebt geaccepteerd. Een simpel overzicht in een spreadsheet of notitie-app is voldoende.

Wat als mijn leverancier de verwerkersovereenkomst wijzigt?

Grote SaaS-partijen wijzigen hun voorwaarden regelmatig. Ze zijn verplicht je hierover te informeren. In de praktijk missen veel ZZP'ers die mails. Het is verstandig om bij tools waar je veel klantgegevens verwerkt, jaarlijks te checken of de voorwaarden nog kloppen.

Heb ik ook een verwerkersovereenkomst nodig voor een gratis tool?

Ja, als die tool persoonsgegevens van je klanten verwerkt. Gratis of betaald maakt juridisch geen verschil. Wel is het zo dat gratis versies van tools (zoals een gratis Gmail-account) vaak geen verwerkersovereenkomst aanbieden. Google is dan zelf verwerkingsverantwoordelijke. Dat maakt het juist riskanter om klantgegevens via die gratis versie te verwerken.

Verwerkersovereenkomst in gewone taal

Je stuurt een offerte via Moneybird. Factuurgegevens met naam, adres en KvK-nummer van je klant gaan naar hun servers. Je plant een nieuwsbrief in Mailchimp. Je volledige mailinglijst staat nu bij een Amerikaans bedrijf. Je hostingpartij bij TransIP? Die heeft alles wat bezoekers op je site achterlaten.

Al die partijen verwerken persoonsgegevens namens jou. Daar hoort een contract bij: de verwerkersovereenkomst. Het klinkt juridischer dan het is. In de praktijk is het bij de meeste diensten een kwestie van opzoeken en accepteren.

In het kort

Elke partij die namens jou persoonsgegevens verwerkt, heeft een verwerkersovereenkomst nodig
De meeste grote SaaS-aanbieders bieden er standaard een aan — je moet hem alleen accepteren
Zonder verwerkersovereenkomst ben je bij een datalek medeverantwoordelijk

Wat is een verwerkersovereenkomst precies?

Een verwerkersovereenkomst is een afspraak tussen jou en een partij die namens jou persoonsgegevens verwerkt. In AVG-termen: jij bent de verwerkingsverantwoordelijke (jij bepaalt het doel en de middelen), de andere partij is de verwerker (die voert uit wat jij instrueert).

De overeenkomst regelt de spelregels. Wat mag de verwerker met de gegevens doen? Hoe beveiligen ze die? Wat gebeurt er bij een datalek? Mogen ze sub-verwerkers inschakelen? En wat doen ze met de data als jullie contract eindigt?

Artikel 28 van de AVG schrijft voor dat deze afspraken schriftelijk vastliggen. Dat kan een apart document zijn, maar ook een addendum bij de servicevoorwaarden. Zolang de vereiste onderdelen erin staan, is de vorm niet het belangrijkste.

Met welke partijen heb je er een nodig?

De vuistregel: als een andere partij persoonsgegevens van jouw klanten kan inzien of verwerken, heb je waarschijnlijk een verwerkersovereenkomst nodig.

Voor de meeste ZZP'ers en kleine bedrijven gaat het om deze categorieën:

Hosting. TransIP, Antagonist, Vercel, Netlify. Ze slaan alles op wat via je website binnenkomt: contactformulieren, accounts, bestelgegevens.

E-mail en kantoor. Google Workspace, Microsoft 365. Al je e-mailverkeer en documenten met klantgegevens lopen via hun servers.

Boekhouding. Moneybird, Exact Online, e-Boekhouden. Factuurdata met namen, adressen en betaalgegevens van je klanten.

CRM en projecttools. HubSpot, Notion, Airtable, Basecamp. Klantprofielen, contactmomenten, projectnotities.

Nieuwsbrief. Mailchimp, Brevo, MailerLite. Je volledige mailinglijst met e-mailadressen en vaak ook namen.

Betaaldiensten. Mollie, Stripe. Ze verwerken betaalgegevens van je klanten.

AI-tools. Als je persoonsgegevens invoert bij ChatGPT, Claude of vergelijkbare tools, kan een verwerkersovereenkomst nodig zijn. Bij zakelijke accounts (ChatGPT Business, Enterprise) is die beschikbaar. Bij gratis accounts meestal niet. Stand van zaken: maart 2026. AI-tools veranderen regelmatig hun voorwaarden.

Maak een keer een lijst van alle tools die je gebruikt. Dat hoeft geen uitputtende exercitie te zijn. Loop je werkdag door: waar log je in? Waar staan klantgegevens? Die lijst is je startpunt.

Wanneer is een partij géén verwerker?

Dit is het punt waar de meeste verwarring ontstaat. Niet elke partij die persoonsgegevens van je klanten ziet, is automatisch een verwerker.

Het verschil zit in wie de regie heeft. Een verwerker doet precies wat jij instrueert. Een verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen.

Je boekhouder is het klassieke voorbeeld. Gebruik je een online boekhoudpakket zoals Moneybird? Dan is Moneybird je verwerker. Ze verwerken data op jouw instructie. Maar heb je een zelfstandig boekhouder of accountant? Die bepaalt zelf hoe hij zijn werk uitvoert, heeft een eigen beroepsplicht en bewaartermijnen. Die is geen verwerker, maar een zelfstandige verwerkingsverantwoordelijke. Daar heb je geen verwerkersovereenkomst voor nodig.

De Belastingdienst verwerkt ook gegevens van je klanten (via je aangiften), maar op grond van een eigen wettelijke taak. Geen verwerker.

Een advocaat die je inschakelt heeft beroepsgeheim en professionele onafhankelijkheid. Geen verwerker.

De test is steeds dezelfde: bepaalt deze partij zelf waarom en hoe ze de gegevens verwerken? Dan is het geen verwerker. Voert de partij instructies uit die jij geeft? Dan wel. In de praktijk is het bij SaaS-tools bijna altijd een verwerker. Bij zelfstandige professionals bijna nooit.

Waar vind je de verwerkersovereenkomst van je leverancier?

De meeste grote diensten bieden standaard een verwerkersovereenkomst aan. Je hoeft er meestal geen op te stellen. Het is een kwestie van vinden en accepteren.

Hier vind je die bij veelgebruikte Nederlandse diensten:

Google Workspace. In de Admin Console onder Account > Juridisch en compliance. Google noemt het een "Data Processing Amendment". Je moet het actief accepteren. Bij een gratis Gmail-account is dit niet beschikbaar. Google is dan zelf verwerkingsverantwoordelijke, wat het riskanter maakt om klantgegevens via dat account te verwerken.

Microsoft 365. De "Data Protection Addendum" geldt automatisch voor alle Microsoft 365-abonnementen. Je hoeft niets apart te accepteren. Het document is beschikbaar op de Microsoft Licensing-pagina.

Moneybird. Publiceren hun verwerkersovereenkomst op hun website onder juridische documenten. Geldt automatisch bij gebruik van de dienst.

Exact Online. Beschikbaar via de Exact-website onder hun juridische documentatie. Acceptatie loopt via de servicevoorwaarden.

Mailchimp. Het "Data Processing Addendum" staat op hun juridische pagina. Geldt automatisch voor accounts die onder de AVG vallen.

TransIP. Publiceert hun verwerkersovereenkomst op hun website. Te vinden via de footer of kennisbank.

Mollie. Beschikbaar in het Mollie Dashboard onder Instellingen. Geldt automatisch voor aangesloten merchants.

Zoektip: vind je het niet direct? Zoek op de website van je leverancier naar "verwerkersovereenkomst", "DPA" of "Data Processing Addendum". Bij de meeste partijen staat het ergens in de juridische sectie of het admin-paneel.

Wat moet erin staan?

Artikel 28 AVG schrijft voor wat minimaal in een verwerkersovereenkomst moet staan. Je hoeft dit niet uit je hoofd te kennen, maar het helpt om te herkennen of een document compleet is.

De kern:

Het onderwerp, de duur en het doel van de verwerking
Welke soorten persoonsgegevens worden verwerkt
Welke categorieën betrokkenen het betreft (klanten, websitebezoekers, medewerkers)
Dat de verwerker alleen op jouw instructie handelt
Dat medewerkers van de verwerker geheimhouding respecteren
Dat de verwerker passende beveiligingsmaatregelen treft
De regels voor het inschakelen van sub-verwerkers
Dat de verwerker meewerkt aan verzoeken van betrokkenen (inzage, verwijdering)
Wat er met de gegevens gebeurt als het contract eindigt: verwijderen of teruggeven
Dat de verwerker meewerkt aan audits

Bij grote SaaS-partijen staan deze punten er vrijwel altijd in. Ze hebben juridische teams die dit uitwerken. Waar het vaker misgaat is bij kleinere, lokale leveranciers die zelf een document in elkaar hebben gezet. Als een verwerkersovereenkomst maar drie zinnen bevat, is die waarschijnlijk niet compleet.

Een punt dat veel ZZP'ers missen: sub-verwerkers. Je hostingpartij schakelt misschien een CDN-provider in. Je boekhoudpakket gebruikt een betaaldienst. Die sub-verwerkers verwerken ook jouw klantgegevens. De verwerkersovereenkomst moet regelen of en hoe je verwerker sub-verwerkers mag inschakelen. Bij de meeste grote partijen werkt dit met een "general written authorization": ze mogen sub-verwerkers inschakelen mits ze je informeren bij wijzigingen.

De fouten die bijna iedereen maakt

Na tien keer hetzelfde gesprek met ondernemers herken je een patroon. Dit zijn de fouten die steeds terugkomen:

Geen overzicht van je verwerkers. De meeste ZZP'ers weten niet eens bij hoeveel partijen klantgegevens staan. Ze starten een nieuwe tool, vullen gegevens in, en denken er niet meer aan. Een verwerkersovereenkomst regel je niet als je niet weet wie je verwerkers zijn.

Aannemen dat het "automatisch geregeld is". Bij sommige diensten is dat ook zo. Microsoft 365 laat de DPA automatisch gelden. Maar bij Google Workspace moet je actief akkoord gaan in de Admin Console. Bij veel kleinere diensten moet je er zelf naar vragen. Aannemen is de grootste risicofactor.

Je boekhouder behandelen als verwerker. Dit leidt tot onnodige discussies. Een zelfstandig boekhouder is meestal een eigen verwerkingsverantwoordelijke. Die hoeft geen verwerkersovereenkomst met jou te tekenen (maar heeft wel een eigen verantwoordelijkheid onder de AVG).

De verwerkersovereenkomst accepteren en nooit meer bekijken. Leveranciers wijzigen hun voorwaarden. Dat is hun goed recht, maar het betekent dat je verwerkersovereenkomst van twee jaar geleden misschien niet meer klopt. Check bij je belangrijkste tools jaarlijks of er updates zijn geweest.

Niets bewaren. De AVG verwacht dat je kunt aantonen dat je verwerkersovereenkomsten hebt geregeld. Dat hoeft geen map met ordners te zijn. Een spreadsheet met de naam van de dienst, de datum van acceptatie en een link naar het document is genoeg.

Wat je niet kunt veranderen (en waarom dat oké is)

De verwerkersovereenkomsten van Google, Microsoft, Mailchimp en vergelijkbare partijen zijn niet onderhandelbaar. Je accepteert wat er staat. Daar is niets mis mee. Als ZZP'er of klein bedrijf heb je geen juridische afdeling om de DPA van Google te herschrijven. Dat hoeft ook niet.

Wat je wel kunt doen: het document lezen. Niet het hele ding woord voor woord, maar focus op drie punten. Waar worden gegevens opgeslagen? Worden gegevens gebruikt voor andere doeleinden dan jouw dienstverlening? En wat is de procedure als er een datalek plaatsvindt?

Bij de meeste grote partijen zijn die antwoorden bevredigend. Data binnen de EU of met adequate waarborgen. Geen gebruik voor eigen doeleinden. Melding bij datalekken.

Waar het lastiger wordt: kleinere leveranciers zonder duidelijke juridische documentatie. Een lokale IT-beheerder die "even toegang heeft" tot je systemen. Een freelance designer die je klantbestanden ontvangt. Daar heb je meer regie. En daar is het ook belangrijker om afspraken vast te leggen, juist omdat er geen standaard document klaarligt.

De Autoriteit Persoonsgegevens richt zich in de handhaving primair op grote verwerkingen en structurele overtredingen. De kans dat de AP bij een ZZP'er op de stoep staat vanwege een ontbrekende verwerkersovereenkomst is klein. Maar het risico zit elders: een klant die een klacht indient, een datalek waarbij je geen afspraken hebt over wie wat doet, of een leverancier die zich nergens aan gebonden voelt.

De verwerkersovereenkomst beschermt jou. Niet als formaliteit, maar als vangnet voor het moment dat het misgaat. Begin met een lijst van je tools. Zoek per tool de verwerkersovereenkomst op. Accepteer hem, bewaar de link, en je hebt de basis geregeld. Dat is realistischer dan perfectie, en de AVG vraagt ook niet meer dan dat.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.