Hoe ga je als verwerker om met een verwerkingsverantwoordelijke die AVG-compliance niet prioriteert?
Inleiding
In theorie is het helder geregeld. Zodra een organisatie persoonsgegevens verwerkt in opdracht van een andere partij, schrijft de AVG voor dat dit gebeurt op basis van een verwerkersovereenkomst. In de praktijk blijkt dit echter vaak een spanningsveld. Niet omdat de norm onduidelijk is, maar omdat de verwerkingsverantwoordelijke het belang ervan niet onderkent of niet urgent acht.
Voor verwerkers ontstaat daarmee een structureel probleem. Zij zijn juridisch verplicht om verwerkingen contractueel vast te leggen, terwijl zij economisch afhankelijk zijn van een opdrachtgever die privacy niet als prioriteit ziet. Druk uitoefenen kan de commerciële relatie schaden; niets doen leidt tot juridische kwetsbaarheid. Dit artikel beschrijft dit spanningsveld en werkt een juridisch houdbare, praktijkgerichte oplossing uit waarmee aantoonbare compliance mogelijk wordt.
Het structurele probleem: juridische plicht versus economische realiteit
De formele verplichting
Artikel 28 AVG verplicht dat verwerkingen door een verwerker uitsluitend plaatsvinden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, vastgelegd in een verwerkersovereenkomst. Deze overeenkomst is geen administratieve formaliteit, maar een kerninstrument voor:
- vastlegging van verantwoordelijkheden;
- afbakening van aansprakelijkheid;
- transparantie richting toezichthouders;
- borging van controleerbare verwerkingsinstructies.
De praktijk
In de dagelijkse praktijk zien verwerkers echter structureel dat:
- opdrachtgevers de verwerkersovereenkomst als “overbodig” ervaren;
- werkzaamheden starten op basis van vertrouwen of losse e-mailafspraken;
- formele verzoeken tot ondertekening worden genegeerd of uitgesteld;
- privacy wordt gezien als iets dat “later wel geregeld wordt”.
Voor de verwerker ontstaat daarmee een asymmetrische positie: weigeren betekent mogelijk omzetverlies, doorgaan betekent werken zonder juridisch vangnet.
Waarom druk uitoefenen vaak geen reële optie is
In veel sectoren – zoals IT-dienstverlening, marketing, hosting en zorgondersteuning – is de markt competitief. Een verwerker die vóór aanvang van werkzaamheden strikt vasthoudt aan formele AVG-documentatie loopt het risico dat een opdrachtgever eenvoudigweg voor een andere partij kiest.
De naleving van privacywetgeving wordt daarmee in de praktijk niet alleen een juridische afweging, maar ook een economische. De AVG adresseert deze machtsverhouding niet expliciet: de verplichting is helder, de realiteit weerbarstig.
Waarom losse mailwisselingen onvoldoende zijn
Sommige verwerkers proberen het probleem te ondervangen door per e-mail te wijzen op de noodzaak van een verwerkersovereenkomst, in de veronderstelling dat dit achteraf als bewijs kan dienen. Deze aanpak schiet echter fundamenteel tekort:
- er zijn geen concrete afspraken vastgelegd over de verwerking;
- instructies zijn niet gespecificeerd of afdwingbaar;
- compliance is bij inspectie niet aantoonbaar;
- aansprakelijkheid is niet helder verdeeld;
- de verwerkingsverantwoordelijke heeft geen kennis kunnen nemen van concrete verplichtingen.
Een e-mail waarin een verwerker aangeeft “graag een overeenkomst te willen sluiten” bewijst hooguit bewustzijn van de verplichting, niet dat daaraan is voldaan. Compliance blijft daarmee feitelijk leeg.
De oplossing: contractuele integratie van de verwerkersovereenkomst
Incorporatie als methode
Een werkbare en juridisch houdbare oplossing is het contractueel integreren van de verwerkersovereenkomst in de hoofdovereenkomst. Dit gebeurt door:
- in de offerte of opdrachtbevestiging expliciet te verwijzen naar de meegestuurde verwerkersovereenkomst;
- vast te leggen dat deze integraal onderdeel uitmaakt van de contractuele afspraken;
- te bepalen dat het verstrekken of bevestigen van de opdracht tevens instemming met de verwerkersovereenkomst inhoudt.
Deze werkwijze is vergelijkbaar met de manier waarop algemene voorwaarden juridisch worden geïncorporeerd: niet qua inhoud, maar qua methode van onderdeel maken van de overeenkomst.
Waarom dit juridisch houdbaar is
Artikel 28 lid 9 AVG bepaalt dat de verwerkersovereenkomst schriftelijk moet zijn vastgelegd, ook in elektronische vorm. Er geldt geen vereiste van dubbele ondertekening of formele bekrachtiging. Vereist zijn wél:
- schriftelijke vastlegging van afspraken;
- kenbaarheid voor de verwerkingsverantwoordelijke;
- wilsovereenstemming tussen partijen;
- bewijsbaarheid.
Aan deze vereisten wordt voldaan wanneer de verwerkersovereenkomst actief wordt meegestuurd, expliciet wordt genoemd en de opdrachtverstrekking als instemmingshandeling wordt gepositioneerd. Deze aanpak sluit aan bij algemeen aanvaarde uitgangspunten uit het Nederlandse contractenrecht.
Cruciale randvoorwaarden
1. Actief meesturen
Een enkele verwijzing is onvoldoende. De verwerkersovereenkomst moet daadwerkelijk als bijlage worden meegestuurd bij de offerte of opdrachtbevestiging, zodat de verwerkingsverantwoordelijke kennis heeft kunnen nemen van de inhoud.
2. Transparante communicatie
In de begeleidende e-mail en/of opdrachtbevestiging moet expliciet worden vermeld dat:
- een verwerkersovereenkomst is bijgevoegd;
- deze integraal onderdeel uitmaakt van de overeenkomst;
- acceptatie van de opdracht instemming met deze overeenkomst inhoudt;
- bezwaar of wijzigingsvoorstellen mogelijk zijn vóór aanvang van de werkzaamheden.
Voorbeeldformulering
“Aan deze opdracht is de bijgevoegde verwerkersovereenkomst verbonden, die integraal onderdeel uitmaakt van onze contractuele afspraken. Door deze opdracht te verstrekken of te bevestigen, gaat u akkoord met de verwerkersovereenkomst. Indien u bezwaren heeft of wijzigingen wenst, verzoeken wij u dit vóór aanvang van de werkzaamheden kenbaar te maken.”
3. Bewijsvoering en archivering
De volledige e-mailcorrespondentie, inclusief bijlagen, moet worden gearchiveerd. Daarmee kan worden aangetoond dat de verwerkingsverantwoordelijke tijdig is geïnformeerd en bewust heeft ingestemd. Dit bewijs is relevant richting toezichthouders en in civielrechtelijke geschillen.
Vereisten aan de verwerkersovereenkomst zelf
De in dit artikel beschreven incorporatiemethode werkt uitsluitend indien de verwerkersovereenkomst zélf juridisch deugdelijk is opgesteld. De methode lost een procesmatig probleem op, maar kan inhoudelijke tekortkomingen niet repareren. Verwerkers dienen daarom expliciet aandacht te besteden aan de volgende punten.
Volledige AVG-compliance
De verwerkersovereenkomst moet alle verplichte elementen bevatten zoals opgenomen in artikel 28 lid 3 AVG. Een onvolledige, generieke of niet-gespecificeerde overeenkomst die onvoldoende is afgestemd op de concrete verwerkingssituatie biedt geen bescherming, ongeacht hoe zorgvuldig de incorporatiemethode wordt toegepast.
Afstemming met overige contractsdocumentatie
De verwerkersovereenkomst moet inhoudelijk consistent zijn met de overige contractuele documentatie, waaronder:
- de hoofdovereenkomst of opdracht;
- eventuele algemene voorwaarden;
- bijlagen waarin de verwerking nader is gespecificeerd.
Tegenstrijdigheden tussen deze documenten ondermijnen de juridische houdbaarheid van het geheel en kunnen bij geschillen of toezicht tegen de verwerker werken.
Aanpassing aan de incorporatiemethode
Controleer of de verwerkersovereenkomst geen formuleringen bevat die impliciet uitgaan van een afzonderlijke ondertekening, zoals verwijzingen naar een “datum van ondertekening”. Deze dienen te worden aangepast naar formuleringen die aansluiten bij de gekozen methode, zoals “datum van opdrachtverstrekking” of “aanvaarding van de opdracht”.
Afsluitende duiding
De incorporatiemethode adresseert het procesprobleem — hoe een verwerkersovereenkomst tot stand komt bij onwillige of passieve opdrachtgevers — maar ontslaat de verwerker niet van de verplichting om een inhoudelijk correcte, volledige en contextspecifieke verwerkersovereenkomst op te stellen die voldoet aan alle AVG-vereisten.
Juridische en praktische voordelen
Deze aanpak:
- respecteert de commerciële realiteit zonder afbreuk te doen aan compliance;
- borgt de AVG-verplichtingen van de verwerker op aantoonbare wijze;
- voorkomt discussies achteraf over verantwoordelijkheden;
- creëert bewijsbare compliance zonder escalatie;
- verplaatst de verantwoordelijkheid juridisch correct: niet “wil je tekenen?”, maar “je hebt ingestemd door de opdracht te geven”.
Belangrijker nog: deze aanpak creëert een compliance-basis die bij inspectie door de toezichthouder daadwerkelijk kan worden overlegd.
Wat deze methode niet oplost
Deze aanpak dwingt geen instemming af. Contractsvrijheid blijft bestaan. Daarnaast ontslaat zij partijen niet van hun inhoudelijke AVG-verplichtingen. De verwerkersovereenkomst moet materieel voldoen aan artikel 28 lid 3 AVG en afgestemd zijn op de concrete verwerkingssituatie. Een generieke “one size fits all”-tekst zonder context blijft juridisch risicovol.
Bij hoogrisicoverwerkingen, zoals grootschalige verwerking of bijzondere categorieën persoonsgegevens, is explicietere afstemming noodzakelijk.
Conclusie
De AVG gaat uit van gelijkwaardige partijen, maar de praktijk laat zien dat economische machtsverhoudingen dit uitgangspunt regelmatig ondermijnen. Voor verwerkers is het daarom noodzakelijk om juridisch doordacht te handelen zonder commerciële zelfbeschadiging.
Het contractueel integreren van de verwerkersovereenkomst in de hoofdovereenkomst — mits correct toegepast en aantoonbaar gecommuniceerd — biedt een pragmatische en juridisch verdedigbare oplossing. Het creëert aantoonbare compliance, verplaatst verantwoordelijkheid naar het juiste niveau en sluit aan bij de bedoeling van de wetgever: transparante, schriftelijk vastgelegde afspraken over de verwerking van persoonsgegevens.
Afsluitende noot voor professionals
Deze werkwijze maakt verwerkers aantoonbaar “in control”, ook wanneer de andere partij privacy niet als prioriteit ziet. Bij complexe of hoogrisicoverwerkingen blijft expliciete afstemming noodzakelijk. Compliance vraagt niet alleen juridische juistheid, maar ook professioneel realisme.