Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 13 november 2025

AP deelt aanbevelingen op het opstellen van sterke verwerkersovereenkomsten

Goed opgestelde verwerkersovereenkomsten tussen organisaties en dienstverleners ontbreken vaak of zijn onvoldoende concreet, constateert de Autoriteit Persoonsgegevens (AP). Na onderzoek naar vijf grote cyberaanvallen doet de toezichthouder drie aanbevelingen om de schade van dergelijke incidenten te beperken.

Security Data protection
AP deelt aanbevelingen op het opstellen van sterke verwerkersovereenkomsten image

Dienstverleners vormen een aantrekkelijk doelwit voor cybercriminelen omdat zij vaak voor meerdere organisaties werken, waarschuwt de toezichthouder. Een datalek bij een dienstverlener kan daardoor honderden bedrijven en miljoenen persoonsgegevens treffen. De AP benadrukt dat organisaties ervan uit moeten gaan dat zij of hun partners ooit met een groot datalek te maken krijgen. Een goede voorbereiding is volgens de toezichthouder daarom noodzakelijk.

De AP onderzocht de rol van verwerkersovereenkomsten bij vijf cyberaanvallen op dienstverleners, die gezamenlijk ruim 1.250 Nederlandse organisaties en naar schatting 10,5 miljoen mensen troffen. Uit gesprekken met getroffen partijen, analyses van datalekmeldingen en bestudeerde overeenkomsten bleek dat onduidelijke afspraken de afhandeling van de aanvallen bemoeilijkten. Organisaties hadden hierdoor weinig regie over het voorkomen en oplossen van de incidenten.

Drie aanbevelingen

De AP adviseert organisaties en dienstverleners om schade te beperken door:

  • Concrete afspraken maken: verwerkersovereenkomsten moeten verder gaan dan algemene AVG-vereisten. Ze moeten helderheid bieden over de verwerking van persoonsgegevens, zoals het wat, hoe, hoelang en voor welk doel, en wie verantwoordelijk is. Ook moeten ze contactpunten en bereikbaarheid bij datalekken vastleggen, evenals de wijze en timing van meldingen door de dienstverlener.
  • Grip te houden op de hele leveranciersketen: organisaties blijven verantwoordelijk voor de persoonsgegevens van klanten, ook als taken worden uitbesteed. Klanten moeten kunnen vertrouwen op een veilige omgang met hun gegevens, zelfs wanneer meerdere partijen bij de verwerking betrokken zijn.
  • Prioriteit te geven aan opstellen en onderhouden van overeenkomsten: afspraken moeten tijdig en zorgvuldig worden gemaakt en regelmatig worden geëvalueerd, zodat ze aansluiten bij de praktijk. Kennis van de AVG onder medewerkers is hierbij belangrijk.

De AP benadrukt dat alleen goed doordachte en actuele verwerkersovereenkomsten daadwerkelijke ondersteuning bieden bij een cyberaanval.

Outvie Dag van de CDO BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Outvie Dag van de CDO BW + BN

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online Content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.