Standaard verwerkersovereenkomsten #4: NLdigital

De verwerkersovereenkomst is voor organisaties vaak meer een noodzakelijke administratieve drempel, dan een moment om eens goed na te denken over een veilige omgang met persoonsgegevens. Zeker wanneer de verwerking van persoonsgegevens grote overlap kent voor elke klant of leverancier, is het noodzakelijk om een goede standaardversie daarvan te hanteren. Veel brancheorganisaties bieden daarom een template aan, die hun leden kunnen gebruiken. In deze editie van de serie “Standaard verwerkersovereenkomsten”, de verwerkersovereenkomst van NLdigital die door leden gebruikt kan worden.

Voor wie is deze standaard?

NLdigital is een branchevereniging in de digitale sector. De vereniging ondersteunt haar leden op de terreinen kennisdeling, belangenbehartiging (in de vorm van lobbyen) en dienstverlening. Eén van die diensten is het aanbieden van standaarddocumenten, waaronder de verwerkersovereenkomt. De verwerkersovereenkomst is bedoeld als universele standaard voor de hele branche. Er wordt dus met veel situaties rekening gehouden om op die manier zoveel mogelijk leden van dienst te kunnen zijn.  

De standaard verwerkersovereenkomst is, volgens NLdigital, neutraal opgesteld zodat deze zowel voor klanten als leveranciers te gebruiken is. In de praktijk valt deze ‘neutraliteit’ tegen en is de verwerkersovereenkomst vooral voor leveranciers gunstig.

Wat kenmerkt deze verwerkersovereenkomst?

De verwerkersovereenkomst van NLdigital is onderdeel van de standaard algemene voorwaarden en bestaat uit twee delen. Het eerste deel is het ‘Data Pro Statement’ en het tweede deel heet ‘Standaardclausules’.

De verwerkersovereenkomst van NLdigital is, net als de standaard algemene voorwaarden, niet per se klantvriendelijk ingestoken. Zoals verplicht worden er in de NLdigital verwerkersovereenkomst afspraken gemaakt over rechten van betrokkenen, het uitvoeren van een Data Protection Impact Assessment en auditrechten. De NLdigital verwerkersovereenkomst legt vervolgens wel alle kosten die daarvoor gemaakt worden bij de klant neer. Een ander onderdeel in de verwerkersovereenkomst waar geen rekening wordt gehouden met de belangen van de klant, is het onderdeel over datalekken. De leverancier zal volgens de verwerkersovereenkomst een datalek zonder onredelijke vertraging doorgeven aan de klant. De klant moet verder bepalen wat er dan mee moet gebeuren. Voor dit doorgeven kan de leverancier, op grond van de verwerkersovereenkomst, een rekening voor de gemaakte kosten sturen. Als door het datalek blijkt dat de beveiliging van de leverancier verbetert moet worden, dan gaat de rekening, wederom, naar de klant. Dit is niet verboden, maar om nu te zeggen dat de verwerkersovereenkomst ‘neutraal’ is opgesteld gaat wel wat ver.

Geen bijzaak: de bijlagen

De verwerkersovereenkomst van NLdigital zit anders in elkaar dan de standaard verwerkersovereenkomsten van bijvoorbeeld de VNG of de BoZ. In plaats van bijlagen bij de verwerkersovereenkomst voor wijzigingen en nadere invulling, is er het ‘Data Pro Statement’. Dit Data Pro Statement is bedoeld voor partijen om een nadere invulling te geven aan de verwerkersovereenkomst. Het Data Pro Statement zit voor de Standaardclausules. Het bevat alle nog in te vullen zaken zoals de omschrijving van de verwerking en afspraken over beveiligingsbeleid. Zo kunnen deze Standaardclausules zoveel mogelijk intact gelaten worden.

Overige bijzonderheden en tips

Door het tweede deel van de verwerkersovereenkomst ‘Standaardclausules’ te noemen lijkt het alsof de daargenoemde punten standaard zijn en niet gewijzigd kunnen worden. Dat is echter niet waar. Niet alleen is het mogelijk om aanpassingen te maken, afspraken uit de onderliggende overeenkomst gaan voor boven de bepalingen uit de Standaardclausules. Let dus goed op dat de negatieve gevolgen van de Standaardclausules zoveel mogelijk worden opgevangen of weggewerkt in de overeenkomst.

De standaard verwerkersovereenkomst van NLdigital is goed bruikbaar voor leveranciers van IT-diensten. Voor klanten van die leveranciers minder. Voor een goede klantrelaties zou het verstandig zijn dat leveranciers de klanten tegemoet komen bij het gebruik van de NLdigital verwerkersovereenkomst.


Deze blog is de vierde editie van de serie “Standaard verwerkersovereenkomsten”. Hierin behandelen wij een gangbare standaardversie van de verplichte verwerkersovereenkomst. In de eerste editie werd de BoZ-verwerkersovereenkomst behandeld. Vervolgens kwamen de verwerkersovereenkomst van de VNG en die van de ARBIT/ARVODI aan de orde. In de editie hierna komt de verwerkersovereenkomst van het Privacyconvenant 3.0 aan bod.

Deze blog is geschreven door stagiair Ruben van der Geest, in samenwerking met Dimmen Smolders.

Terug naar overzicht