Wat moet er in een verwerkersovereenkomst staan?

AVG artikel 28 lid 3 somt de verplichte onderdelen op: het onderwerp en de duur van de verwerking, de aard en het doel, het soort persoonsgegevens, de categorieën betrokkenen, en de verplichtingen en rechten van de verwerkingsverantwoordelijke. In de praktijk regelt een goede overeenkomst ook: geheimhouding, sub-verwerkers, beveiligingsmaatregelen, meldingsverplichting bij datalekken, en het recht om te auditen.

Verwerkersovereenkomst en AI-tools: wat MKB moet weten

AVG-verplichtingen voor Nederlandse bedrijven die AI inzetten · Orellis

Ja, verplicht. Zodra een AI-tool persoonsgegevens verwerkt namens uw bedrijf, vereist AVG artikel 28 een schriftelijke verwerkersovereenkomst met die aanbieder. Dat geldt voor elk taalmodel, automatiseringsplatform of API die klant- of medewerkergegevens te zien krijgt.

De meeste bedrijven hebben die overeenkomst niet expliciet gesloten met elke tool die zij gebruiken. Dat is geen ramp, maar het is iets om nu in kaart te brengen.

De verwerkersovereenkomst is niet de ingewikkeldste AVG-verplichting, maar bij AI-tools wordt hij het vaakst over het hoofd gezien. De reden: tools worden ingezet als productiviteitshulpmiddel, niet als gegevensverwerkingssysteem, terwijl ze dat feitelijk wel zijn zodra er een naam, een BSN of een klantdossier in de prompt belandt.

Wanneer een verwerkersovereenkomst verplicht is

De sleutelvraag is of de AI-aanbieder persoonsgegevens verwerkt namens uw bedrijf. Is het antwoord ja, dan is de aanbieder een verwerker in de zin van de AVG, en is artikel 28 van toepassing.

Dat is bijna altijd het geval wanneer u:

een klantdossier of klantcommunicatie invoert in een AI-tool om een conceptbrief, samenvatting of analyse te genereren;
een automatiseringsworkflow bouwt die persoonsgegevens doorgeeft aan een extern taalmodel;
een AI-assistent gebruikt die toegang heeft tot uw e-mail, CRM of documentenopslag.

Het is niet het geval wanneer u uitsluitend geanonimiseerde of synthetische data gebruikt, of wanneer u de tool gebruikt voor taken die geen persoonsgegevens bevatten.

Wat AVG artikel 28 vereist

SchriftelijkheidDe overeenkomst moet schriftelijk zijn — in de praktijk accepteert de wet ook elektronische documenten. Een mondelinge afspraak of een algemene privacyverklaring volstaat niet.

Onderwerp en duurWelke verwerking, voor welk doel, hoe lang. Bij AI-tools: welke data gaat erin, voor welk resultaat, en wanneer stopt de verwerking.

Aard en doel van de verwerkingWat de aanbieder technisch doet met de data — genereren van tekst, analyseren van documenten — en het zakelijke doel waarvoor u dit inzet.

Soort persoonsgegevens en categorieën betrokkenenNaam, BSN, e-mailadres, financiële gegevens van klanten of medewerkers — elk soort benoemen. Bijzondere categorieën (gezondheid, ras) vereisen extra aandacht.

Verplichtingen verwerkerGeheimhouding, beveiligingsmaatregelen, melding van datalekken, geen sub-verwerkers inzetten zonder toestemming, en het recht van de verwerkingsverantwoordelijke om te auditen.

De vragen die tellen

Wanneer is een verwerkersovereenkomst verplicht bij AI-tools?

Zodra een AI-aanbieder persoonsgegevens verwerkt namens uw bedrijf — en niet zelfstandig bepaalt wat er met die data gebeurt — is hij een verwerker in de zin van de AVG. AVG artikel 28 verplicht dan een schriftelijke verwerkersovereenkomst. Dat geldt ongeacht of de aanbieder groot of klein is, of het om een chatbot, een taalmodel of een automatiseringstool gaat.

Bieden grote AI-aanbieders standaard een verwerkersovereenkomst?

De meeste grote aanbieders (Microsoft, Google, OpenAI via Azure) bieden een Data Processing Agreement of vergelijkbaar document aan in hun enterprise-voorwaarden. De standaard consumenten- of developer-API-voorwaarden bevatten die doorgaans niet, of zijn niet bedoeld voor de verwerking van persoonsgegevens van derden. U moet de voorwaarden van elke aanbieder die u gebruikt controleren op de specifieke versie die van toepassing is op uw gebruik.

Wat als de AI-aanbieder geen verwerkersovereenkomst wil sluiten?

Dan kunt u die aanbieder niet rechtmatig gebruiken voor de verwerking van persoonsgegevens van uw klanten of medewerkers, tenzij er een andere rechtmatige grondslag is. Een aanbieder die weigert een verwerkersovereenkomst te sluiten terwijl hij wel persoonsgegevens verwerkt, voldoet zelf niet aan de AVG. Dat is een risicosignaal, geen bureaucratisch detail.

Moeten wij een verwerkersovereenkomst sluiten voor elke AI-tool apart?

Ja, per aanbieder die persoonsgegevens verwerkt namens u. Als u meerdere tools gebruikt in één workflow — bijvoorbeeld een automatiseringsplatform dat een taalmodel aanroept — kan elke schakel een aparte verwerkersovereenkomst vereisen. Wij brengen per stap in de workflow in kaart welke aanbieder welke data ziet, zodat u weet welke overeenkomsten u nodig heeft.

Wat is het verschil tussen een verwerkersovereenkomst en een geheimhoudingsverklaring?

Een geheimhoudingsverklaring (NDA) regelt vertrouwelijkheid van informatie in het algemeen. Een verwerkersovereenkomst is een AVG-specifiek contract dat de rechten en verplichtingen rond de verwerking van persoonsgegevens regelt. Ze overlappen deels, maar zijn niet uitwisselbaar. Voor AI-tools die persoonsgegevens verwerken heeft u de verwerkersovereenkomst nodig; een NDA volstaat niet.

Wat doet Orellis met de verwerkersovereenkomst in de praktijk?

Wij zijn opgezet om per stap in een workflow te documenteren welke aanbieder welke data verwerkt en onder welke voorwaarden. Als onderdeel van het ontwerp brengen wij in kaart welke verwerkersovereenkomsten van toepassing zijn of nog gesloten moeten worden. Wij sluiten die overeenkomsten niet namens u — dat doet u zelf of via uw juridisch adviseur — maar wij maken het controleerbaar welke overeenkomsten er nodig zijn en met welke aanbieder.

Wat deze pagina niet kan beantwoorden

Dit is een operationele uitleg van de verwerkersovereenkomst als AVG-verplichting, geen juridisch advies. Of een specifiek gebruik van een specifieke tool in uw situatie AVG-conform is, hangt af van uw data-architectuur, uw grondslag, en de actuele voorwaarden van de aanbieder op het moment dat u dit leest. Uw juridisch adviseur of privacy officer is de aangewezen persoon om dat te beoordelen voor uw specifieke situatie.

Wij citeren wetten, geen rechtbank-uitspraken

De vereisten op deze pagina zijn gebaseerd op de tekst van AVG artikel 28. Toezichthouders en rechtbanken kunnen aanvullende interpretaties geven. Voor actuele handhavingsrichtsnoeren verwijzen wij naar de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) en de EDPB-richtsnoeren.

Dit is een operationele kadering, geen juridisch advies. Of uw specifiek gebruik van een AI-tool AVG-conform is, hangt af van uw data-architectuur en uw grondslag. Wij documenteren de ontwerpkeuzes; uw adviseur tekent ervoor.

Hoe Orellis het aanpakt

Wij zijn opgezet om elke workflow stap voor stap in kaart te brengen: welke data gaat erin, welke aanbieder verwerkt het, wat komt eruit, en wie controleert het. Onderdeel van dat ontwerp is het identificeren van de verwerkersovereenkomsten die u nodig heeft. Dat is geen juridische dienst — het is het maken van de keuzes controleerbaar, zodat uw adviseur ze kan beoordelen en ondertekenen.

Wij controleren alles wat live gaat. Deze pagina is opgesteld met onze eigen AI-stack en door een mens gecontroleerd voordat zij live ging. Die controlediscipline is het product.

Wilt u weten welke verwerkersovereenkomsten u nodig heeft?

Vertel ons welke AI-tools u gebruikt of overweegt, en wij brengen per stap in kaart welke data er doorheen gaat en welke AVG-afspraken daarvoor vereist zijn. Geen systeemtoegang. Geen data. Een reactie van een mens.

Vertel ons hoe uw workflow loopt of boek een gratis audit