Als installatiebedrijf deel je dagelijks je kostbaarste bezit met anderen: je klantdata. Je zet adressen in de planningssoftware, slaat tekeningen op in de cloud, stuurt personeelsgegevens naar de salarisadministrateur en laat GPS-data verwerken door een app.

In al deze gevallen geef jij persoonsgegevens uit handen aan een externe partij. Volgens de AVG is dat prima, maar alleen als je harde afspraken maakt over wat die partij met die data mag doen. Die afspraken leg je vast in een Verwerkersovereenkomst.

Heb je die niet? Dan ben jij juridisch vogelvrij als jouw softwareleverancier een fout maakt, gehackt wordt of besluit jouw klantdata door te verkopen. In dit artikel lees je hoe je dat dicht timmert.

1. Wat is een verwerkersovereenkomst (en waarom moet het?)

Simpel gezegd: jij bent de Verwerkingsverantwoordelijke (de 'eigenaar' van de data). De partij die je inhuurt om iets met die data te doen (opslag, rekenwerk, verzending) is de Verwerker.

De AVG (Artikel 28) verplicht jou om een contract te hebben waarin staat dat de verwerker de data alleen mag gebruiken voor het doel dat jij geeft.

De vergelijking: Als jij je huissleutel aan de buurvrouw geeft om de planten water te geven, wil je niet dat ze een feestje geeft in jouw huis of kopieën van de sleutel uitdeelt aan vreemden. Een verwerkersovereenkomst is het contract waarin je zegt: "Je mag naar binnen voor de planten, maar verder blijf je overal vanaf."

2. Met wie moet je dit afsluiten? (De Checklist)

Veel installateurs denken dat dit alleen voor grote bedrijven geldt. Fout. Je moet een contract hebben met iedere externe partij die toegang heeft tot persoonsgegevens van jouw klanten of personeel.

Vergeet deze partijen niet:

• Software & Apps: Je ERP-pakket (Syntess, Exact, etc.), werkbon-apps, calculatiesoftware, nieuwsbriefsystemen (Mailchimp).
• IT-dienstverleners: Het bedrijf dat jouw systeembeheer doet, je back-ups regelt of je cloudomgeving (Microsoft 365/Google Workspace) beheert.
• Administratie: Het salarisadministratiekantoor en de accountant.
• Overige diensten: De partij achter je GPS-trackers, de hostingpartij van je website (als daar contactformulieren op staan) en de online opslagdienst (Dropbox/WeTransfer).

Met wie HOEF je geen contract?

• De Belastingdienst, de Arbodienst of het UWV (zij hebben een eigen wettelijke taak).
• Onderaannemers die zelfstandig werken en zelf contact hebben met de klant (al is dit soms een grijs gebied; bij twijfel is een contract beter).
• De postbode of schoonmaker (zij zien data alleen toevallig, ze verwerken het niet).

3. Wat moet erin staan? (De inhoud)

Je hoeft het contract meestal niet zelf te schrijven; softwareleveranciers hebben vaak een standaard verwerkersovereenkomst. Maar jij moet wel checken of deze deugt.

De 7 minimale eisen:

1. Het Doel: De verwerker mag de data niet voor eigen doelen gebruiken (bijv. doorverkopen voor marketing).
2. Beveiliging: Welke maatregelen neemt de leverancier tegen hackers? (Vraag naar ISO 27001 certificering).
3. Subverwerkers: Mag jouw softwareleverancier de data doorzetten naar een andere partij (bijv. Amazon Web Services)? Zo ja, dan moeten ze jou informeren.
4. Locatie van data: Blijft de data in de EU? (Cruciaal! Data in de VS is juridisch lastig).
5. Datalekken: Als de leverancier een lek heeft, moeten ze dit direct (vaak binnen 24-48 uur) aan jou melden, zodat jij de Autoriteit Persoonsgegevens kunt inlichten.
6. Auditrecht: Jij (of een expert namens jou) moet het recht hebben om te controleren of ze zich aan de afspraken houden.
7. Exit-strategie: Als het contract stopt, moeten ze jouw data teruggeven of vernietigen. Ze mogen het niet gijzelen.

4. De risico’s: Wat als je GEEN contract hebt?

Geen contract = geen grip. De risico's zijn financieel en operationeel groot:

• Aansprakelijkheid bij lekken: Als jouw CRM-leverancier gehackt wordt en klantgegevens liggen op straat, ben jij verantwoordelijk richting de klant en de toezichthouder. Zonder contract kun je de schade en de boete (die kan oplopen tot 4% van je omzet) nauwelijks verhalen op de leverancier.
• Geen bewijs: De leverancier kan zeggen: "Wij mochten die data best gebruiken voor onze eigen analyse, dat was niet verboden." Zonder contract sta je machteloos.
• Boetes: De Autoriteit Persoonsgegevens kan direct een boete opleggen puur voor het feit dat de administratie (de contracten) niet op orde is, zelfs zonder datalek.

5. Checklist voor Softwareleveranciers

Krijg je een contract of Algemene Voorwaarden onder je neus? Scan snel op deze punten:

• [ ] Is er een aparte 'Verwerkersovereenkomst' of 'Data Processing Addendum'?
• [ ] Staat erin dat ze data niet voor eigen doeleinden gebruiken?
• [ ] Garanderen ze dat data binnen de Europese Economische Ruimte (EER) blijft?
• [ ] Is er een duidelijke procedure voor het melden van datalekken?
• [ ] Is hun aansprakelijkheid niet volledig uitgesloten? (Veel leveranciers proberen hun aansprakelijkheid te beperken tot € 500,-. Dat is bij een datalek veel te weinig).

6. Praktische Tips voor Implementatie

Hoe regel je dit zonder er een dagtaak aan te hebben?

1. Centrale Map: Maak één map (digitaal) aan: 'AVG Verwerkersovereenkomsten'.
2. Inventarisatie: Loop door je bankafschriften. Elke partij aan wie je maandelijks betaalt voor software of diensten, moet waarschijnlijk een contract hebben.
3. Downloaden: Bij grote partijen (Microsoft, Google, Mailchimp) kun je de standaardovereenkomst vaak downloaden op hun website. Sla deze op in je map. Dat is voldoende.
4. Opvragen: Bij kleinere partijen (bijv. de bouwer van je website of je lokale IT-beheerder): mail ze. "Hoi, voor onze AVG-administratie mis ik nog de getekende verwerkersovereenkomst. Hebben jullie een standaard liggen?"
5. Jaarlijkse Check: Zet een herinnering in je agenda. Zijn er leveranciers bijgekomen? Zijn er contracten verlopen?

Conclusie

Het verwerkerscontract klinkt als saaie juridische rompslomp, maar het is eigenlijk je verzekeringspolis. Het zorgt ervoor dat als het misgaat bij je leverancier, jij niet voor de volledige schade opdraait. Heb je de contracten op orde? Dan laat je zien dat je een professionele partij bent die de data van klanten serieus neemt.