Heb ik een verwerkersovereenkomst nodig met Mailchimp of Brevo?

Ja. E-mailmarketingplatformen als Mailchimp en Brevo verwerken je contactenlijst namens jou. Je bent verplicht een verwerkersovereenkomst te sluiten. In de praktijk bieden deze partijen een standaard DPA aan die je accepteert via hun instellingen.

Is een verwerkersovereenkomst hetzelfde als een DPA?

Ja, verwerkersovereenkomst en data processing agreement (DPA) zijn twee namen voor hetzelfde document — respectievelijk in het Nederlands en het Engels. Beide verwijzen naar het contract dat AVG Artikel 28 verplicht stelt.

Heb ik een verwerkersovereenkomst nodig met mijn accountant?

Dat hangt ervan af. Een accountant die zelfstandig zijn dienstverlening inricht, is doorgaans een eigen verwerkingsverantwoordelijke — dan is geen verwerkersovereenkomst nodig. Maar als jij bepaalt hoe en waarom de accountant gegevens verwerkt, is een verwerkersovereenkomst wél vereist. Overleg bij twijfel met je accountant.

Wat is een verwerkersovereenkomst? — Documentmaker

Kort antwoord

Een verwerkersovereenkomst (ook: data processing agreement of DPA) is een verplicht contract tussen jou en een externe partij die persoonsgegevens namens jou verwerkt. De verplichting staat in AVG Artikel 28. Je hebt er een nodig zodra je een tool inschakelt voor e-mail, boekhouding, hosting of CRM.

Verwerker vs. verwerkingsverantwoordelijke

Als ondernemer bepaal jij het doel en de middelen van de gegevensverwerking: jij bent de verwerkingsverantwoordelijke. Een verwerker is een partij die gegevens uitsluitend in jouw opdracht en voor jouw doeleinden verwerkt.

Verwerkingsverantwoordelijke

Verwerker

Bepaalt doel en middelen

Voert uit in opdracht

Jij (de ondernemer)

Bijv. Mailchimp, AWS

Wanneer heb je een verwerkersovereenkomst nodig?

Je hebt een verwerkersovereenkomst nodig zodra je een externe partij inschakelt die persoonsgegevens namens jou verwerkt. Bekende voorbeelden:

E-mailmarketingplatformen (Mailchimp, Brevo, ActiveCampaign)
Boekhoudsoftware (Exact Online, Moneybird, SnelStart)
Hostingproviders met toegang tot klantdata (AWS, TransIP, Cloudflare)
CRM-systemen (Salesforce, HubSpot, Pipedrive)
Website-analysetools (Google Analytics, Matomo)
Externe salarisadministrateurs die personeelsdata verwerken

In de praktijk bieden grote platforms (Mailchimp, Google, Microsoft) een standaard DPA aan die je accepteert via hun instellingen of door een document te ondertekenen. Controleer dit in de privacyinstellingen van je account.

Wanneer heb je géén verwerkersovereenkomst nodig?

Niet iedere externe partij is automatisch een verwerker. Je hebt geen verwerkersovereenkomst nodig als de andere partij:

De gegevens voor eigen doeleinden verwerkt — dan is die partij zelf verwerkingsverantwoordelijke (bijv. Facebook voor advertentiedoeleinden)
Zelfstandig bepaalt hoe hij gegevens bewaart en verwerkt, zoals een notaris of een zelfstandige accountant die zijn eigen dienstverlening inricht
Alleen pakketten bezorgt zonder toegang tot de inhoud van je klantenbestand

Wat staat er in een verwerkersovereenkomst?

AVG Artikel 28, lid 3 schrijft voor dat een verwerkersovereenkomst minimaal het volgende regelt:

Beschrijving van de verwerking: welke gegevens, voor welk doel, hoe lang
Instructies waaraan de verwerker zich moet houden
Verplichting tot geheimhouding voor medewerkers van de verwerker
Passende technische en organisatorische beveiligingsmaatregelen
Regels voor het inschakelen van sub-verwerkers
Hoe de verwerker omgaat met verzoeken van betrokkenen (inzage, verwijdering)
Meldplicht bij datalekken
Wat er met de gegevens gebeurt na afloop van de samenwerking

Verwerkersovereenkomst opstellen

Met de gratis verwerkersovereenkomst-generator van Documentmaker stel je in 5 stappen een AVG-conforme overeenkomst op. Je vult de gegevens van beide partijen en de aard van de verwerking in — de generator zorgt voor de juiste clausules conform AVG Artikel 28. Heb je ook nog geen privacyverklaring? Stel die gratis op via onze privacyverklaring-generator.

Wat is een verwerkersovereenkomst en wanneer heb je er een nodig?