--- title: "Verwerkersovereenkomst softwarebedrijf" url: https://mkbjuristen.nl/contracten/verwerkersovereenkomst-softwarebedrijf/ date: 2026-05-17 modified: 2026-05-26 author: "denian@mkbrecht.nl" description: "Waarom heeft een softwarebedrijf een eigen verwerkersovereenkomst nodig? Een softwarebedrijf dat software levert waarbij klanten persoonsgegevens invoeren en verwerken — een CRM-systeem, een HR-platform, een boekhoudpakket, een klantenportaal — treedt..." word_count: 454 --- # Verwerkersovereenkomst softwarebedrijf ## Waarom heeft een softwarebedrijf een eigen verwerkersovereenkomst nodig? Een softwarebedrijf dat software levert waarbij klanten persoonsgegevens invoeren en verwerken — een CRM-systeem, een HR-platform, een boekhoudpakket, een klantenportaal — treedt op als **verwerker** in de zin van de AVG: het verwerkt persoonsgegevens in opdracht van en ten behoeve van de klant als verwerkingsverantwoordelijke. Artikel 28 lid 3 AVG verplicht de verwerkingsverantwoordelijke en de verwerker hun verhouding contractueel vast te leggen in een verwerkersovereenkomst. Als softwarebedrijf wordt u door uw klanten gevraagd een verwerkersovereenkomst te tekenen — of u biedt er zelf één aan als onderdeel van uw SaaS- of softwarepakket. Een eigen, goed opgestelde verwerkersovereenkomst beschermt u als softwarebedrijf bij datalekken, AVG-inspecties en aansprakelijkheidsclaims van klanten. *Onze advocaten stellen voor softwarebedrijven een verwerkersovereenkomst op die volledig voldoet aan artikel 28 AVG, de subverwerkerregeling voor uw cloudinfrastructuur correct omschrijft, de datalek-meldprocedure afdwingbaar vastlegt en uw aansprakelijkheid bij datalekken effectief begrenst.* ## Hoe regelt u de subverwerkers — uw cloudinfrastructuur — in de verwerkersovereenkomst? Als softwarebedrijf maakt u gebruik van cloudinfrastructuur — AWS, Azure, Google Cloud — en andere subverwerkers die de persoonsgegevens van uw klanten feitelijk hosten. Op grond van artikel 28 lid 2 AVG mag u subverwerkers alleen inschakelen met voorafgaande schriftelijke toestemming van uw klanten — specifiek of generiek. De meest praktische aanpak voor softwarebedrijven is een **generieke toestemming**: uw verwerkersovereenkomst somt de huidige subverwerkers op in een bijlage en informeert klanten bij elke wijziging, met een bezwaarmogelijkheid van dertig dagen. Uw verwerkersovereenkomst moet ook de doorgifte buiten de EER adresseren als uw cloudinfrastructuur data opslaat buiten de EU — standaard contractbepalingen (SCC's) of het EU-US Data Privacy Framework. Onze advocaten stellen een subverwerkerregeling op die praktisch werkbaar is en AVG-compliant. ## Hoe begrenst u uw aansprakelijkheid als verwerker bij een datalek? Als softwarebedrijf bent u als verwerker op grond van artikel 82 AVG aansprakelijk tegenover betrokkenen voor schade als gevolg van een datalek waarbij uw software of infrastructuur betrokken is, tenzij u bewijst dat u niet verantwoordelijk bent voor de gebeurtenis die de schade heeft veroorzaakt. Uw verwerkersovereenkomst met klanten moet de aansprakelijkheid voor datalekken expliciet adresseren: bij een datalek als gevolg van een fout van uw software of uw beveiligingsmaatregelen bent u aansprakelijk tot een vastgesteld maximum; bij een datalek als gevolg van onjuist gebruik door de klant is de klant aansprakelijk en vrijwaart hij u. Combineer dit met een adequate cyberverzekering. Onze advocaten formuleren een aansprakelijkheidsbeperking die uw positie als verwerker adequaat beschermt. ## Hoe werkt het bij MKBjuristen? Na een korte intake over uw softwareproduct, uw cloudinfrastructuur en uw klantenprofiel stellen onze advocaten een **verwerkersovereenkomst voor uw softwarebedrijf** op die volledig voldoet aan artikel 28 AVG, de subverwerkerregeling voor uw infrastructuur correct omschrijft, de datalek-meldprocedure afdwingbaar vastlegt en uw aansprakelijkheid effectief begrenst.