--- title: "Bewerkersovereenkomst" url: https://mkbjuristen.nl/contracten/bewerkersovereenkomst/ date: 2018-02-20 modified: 2026-05-26 author: "Stefan" description: "Wat is een bewerkersovereenkomst en bestaat die term nog? De term bewerkersovereenkomst stamt uit de Wet bescherming persoonsgegevens (Wbp), die per 25 mei 2018 is vervangen door de Algemene Verordening..." word_count: 832 --- # Bewerkersovereenkomst ## Wat is een bewerkersovereenkomst en bestaat die term nog? De term **bewerkersovereenkomst** stamt uit de Wet bescherming persoonsgegevens (Wbp), die per 25 mei 2018 is vervangen door de Algemene Verordening Gegevensbescherming (AVG). Onder de Wbp heette het contract tussen de verantwoordelijke en de bewerker een bewerkersovereenkomst. Onder de AVG heet dit document een **verwerkersovereenkomst**. De inhoud en het doel zijn grotendeels hetzelfde: het vastleggen van de afspraken tussen de partij die het doel en de middelen van de gegevensverwerking bepaalt — de verwerkingsverantwoordelijke — en de partij die de gegevens in opdracht verwerkt — de verwerker. Als u een bewerkersovereenkomst zoekt of heeft, gaat het in de huidige juridische werkelijkheid altijd om een verwerkersovereenkomst op grond van artikel 28 AVG. Een bewerkersovereenkomst die nog is opgesteld onder de Wbp voldoet niet meer aan de strengere AVG-vereisten en dient te worden geactualiseerd. *Onze advocaten controleren uw bestaande bewerkersovereenkomst of verwerkersovereenkomst op AVG-compliance, stellen een geactualiseerde versie op en adviseren u over de samenhang met uw verwerkingsregister en privacybeleid.* ## Wat zijn de verschillen tussen de bewerkersovereenkomst onder de Wbp en de verwerkersovereenkomst onder de AVG? De wijzigingen die de AVG heeft gebracht ten opzichte van de Wbp zijn op meerdere punten ingrijpend. Onder de **Wbp** was uitsluitend de verantwoordelijke aansprakelijk voor overtredingen; de bewerker had een beperktere aansprakelijkheid. Onder de **AVG** zijn zowel de verwerkingsverantwoordelijke als de verwerker rechtstreeks aansprakelijk jegens betrokkenen voor schade als gevolg van niet-naleving van de AVG. De AVG stelt uitdrukkelijk aanvullende vereisten die in de verwerkersovereenkomst moeten worden opgenomen: de verplichting van de verwerker om alleen op schriftelijke instructie van de verwerkingsverantwoordelijke te handelen, de verplichting tot geheimhouding door alle medewerkers die toegang hebben tot de persoonsgegevens, de verplichting passende technische en organisatorische beveiligingsmaatregelen te nemen, de verplichting de verwerkingsverantwoordelijke te informeren bij een datalek, de regeling voor subverwerkers, de medewerking aan DPIA's en audits, en de teruggave of verwijdering van gegevens bij het einde van de verwerkersovereenkomst. Een bewerkersovereenkomst onder de Wbp bevat deze elementen doorgaans niet of onvolledig. Onze advocaten updaten uw bestaande overeenkomst naar de AVG-standaard. ## Wanneer heeft u een verwerkersovereenkomst nodig? Een **verwerkersovereenkomst** is verplicht op grond van artikel 28 lid 3 AVG telkens wanneer een verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een verwerker. Een verwerker is iedere partij die persoonsgegevens verwerkt in opdracht van en ten behoeve van de verwerkingsverantwoordelijke, zonder zelf de doeleinden van de verwerking te bepalen. Voorbeelden zijn: een salarisadministratiekantoor dat de loonstroken verwerkt, een cloud software provider die uw CRM of boekhoudsysteem host, een marketingbureau dat e-mailadressen gebruikt voor uw nieuwsbrief, een drukkerij die adresbestanden verwerkt voor een mailing, en een beveiligingsbedrijf dat camerabewaking verzorgt. U heeft geen verwerkersovereenkomst nodig als de andere partij zelf verwerkingsverantwoordelijke is — zoals uw accountant die op eigen verantwoordelijkheid belastingaangifte doet. Onze advocaten beoordelen voor u met welke van uw leveranciers een verwerkersovereenkomst vereist is. ## Wat moet er minimaal in een verwerkersovereenkomst staan op grond van de AVG? Artikel 28 lid 3 AVG schrijft voor dat de verwerkersovereenkomst minimaal de volgende elementen bevat. Het **onderwerp en de duur** van de verwerking. De **aard en het doel** van de verwerking. Het **soort persoonsgegevens** dat wordt verwerkt. De **categorieën betrokkenen**. De verplichtingen en rechten van de verwerkingsverantwoordelijke. De verplichting van de verwerker om alleen op basis van **gedocumenteerde instructies** te handelen. De **geheimhoudingsplicht** van personen die toegang hebben tot de gegevens. De verplichting passende **technische en organisatorische beveiligingsmaatregelen** te treffen. De regeling voor het inschakelen van **subverwerkers**, inclusief het vereiste van voorafgaande toestemming. De verplichting de verwerkingsverantwoordelijke te **ondersteunen bij de rechten van betrokkenen**. De **datalek-meldingsplicht**. De verplichtingen ten aanzien van **DPIA's en audits**. En de teruggave of verwijdering van persoonsgegevens na afloop. Onze advocaten stellen een verwerkersovereenkomst op die volledig aan deze vereisten voldoet. ## Hoe regelt u subverwerkers in de verwerkersovereenkomst? **Subverwerkers** zijn de partijen die de verwerker inschakelt om (een deel van) de verwerking uit te voeren. Een cloudprovider schakelt subverwerkers in voor opslag, backup en beveiliging. Een salarisadministratiekantoor schakelt een softwareleverancier in die de gegevens host. Op grond van de AVG mag een verwerker alleen subverwerkers inschakelen met voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke — specifiek per subverwerker, of via een generieke toestemming waarbij de verwerker de verwerkingsverantwoordelijke in de gelegenheid stelt bezwaar te maken tegen specifieke subverwerkers. De verwerker blijft jegens de verwerkingsverantwoordelijke volledig aansprakelijk voor de handelingen van de subverwerker. Uw verwerkersovereenkomst moet de subverwerkerregeling helder vastleggen, inclusief de procedure voor nieuwe subverwerkers en de verplichting van de verwerker om dezelfde AVG-verplichtingen op te leggen aan zijn subverwerkers. Onze advocaten stellen een subverwerkerclausule op die uw positie als verwerkingsverantwoordelijke beschermt. ## Hoe werkt het bij MKBjuristen? Na een korte intake brengen onze advocaten uw verwerkingsrelaties, uw leveranciersbestand en uw bestaande bewerkersovereenkomsten of verwerkersovereenkomsten in kaart. Op basis daarvan actualiseren wij uw bestaande overeenkomsten naar de AVG-standaard of stellen wij nieuwe **verwerkersovereenkomsten** op die volledig voldoen aan de vereisten van artikel 28 AVG. Wij zorgen ook voor de afstemming tussen uw verwerkersovereenkomsten, uw verwerkingsregister en uw privacybeleid, zodat uw gehele AVG-compliance-structuur op orde is.