Je bouwt een app in Bubble, automatiseer je facturen met Zapier, of laat AI-tools je klantgegevens verwerken. Het werkt allemaal fantastisch — tot je even stopt bij de vraag: waar gaan al die gegevens naartoe? En belangrijker nog: heb je wel een verwerkersovereenkomst? Als je no-code tools van buitenlandse aanbieders gebruikt, is dat geen luxe.
▶Inhoudsopgave
Het is een wettelijke verplichting. En als je het niet goed regelt, loop je risico's die je bedrijf duur kunnen komen te staan.
Wat is een verwerkersovereenkomst en waarom heb je die nodig?
Een verwerkersovereenkomst is een contract tussen jou (de verwerkingsverantwoordelijke) en een partij die namens jou persoonsgegevens verwerkt (de verwerker). Denk aan een no-code platform dat klantgegevens opslaat, e-mailadressen verwerkt, of betaalinformatie doorstuurt.
Volgens artikel 28 van de AVG ben je verplicht om een dergelijke overeenkomst op te stellen.
Zonder die overeenkomst handel je in strijd met de Europese privacywetgeving. En dat kan leiden tot boetes tot 20 miljoen euro of 4% van de wereldwijme omzet — afhankelijk van welk bedrag het hoogst is. Maar het gaat verder dan alleen een contract ondertekenen.
De verwerkersovereenkomst legt vast wat de verwerker wel en niet mag doen met je gegevens. Hoe lang worden ze bewaard? Worden ze gedeeld met derden? Wat gebeurt er bij een datalek? Zonder heldere afspraken zweef je in het duister.
Waarom buitenlandse no-code aanbieders extra aandacht vragen
Het grootste risico zit hem in de locatie van de aanbieders. Veel populaire no-code platforms — denk aan Airtable, Make, Zapier of Notion — zijn gevestigd in de Verenigde Staten of andere landen buiten de EU.
Dat betekent dat je persoonsgegevens fysiek de grens overgaan. En niet elk buitenlands land biedt hetzelfde beschermingsniveau als de EU. Binnen de Europese Unie gelden de strenge regels van de AVG.
Wat betekent dit voor jouw verwerkersovereenkomst?
Maar als je gegevens naar een land als de VS worden overgebracht, gelden daar andere wetten. De Amerikaanse Cloud Act geeft bijvoorbeeld Amerikaanse autoriteiten de mogelijkheid om gegevens op te eisen die door Amerikaanse bedrijven worden bewaard — ook als die gegevens afkomstig zijn uit Europa.
- Standaardcontractbepalingen (SCC's): Dit zijn door de Europese Commissie goedgekeurde clausules die zorgen voor een beschermingsniveau dat vergelijkbaar is met de AVG.
- Een Transfer Impact Assessment (TIA): Hierin analyseer je of het ontvangende land voldoende bescherming biedt en of er aanvullende maatregelen nodig zijn.
- Technische aanvullende maatregelen: Zoals encryptie van gegevens tijdens overdracht en opslag, of pseudonimisering van persoonsgegevens.
Dat is een reëel risico dat je niet kunt negeren. Als je een buitenlandse no-code tool gebruikt, moet je in de verwerkersovereenkomst extra waarborgen opnemen. Denk aan:
Veel grote aanbieders bieden standaard een verwerkersovereenkomst aan — vaak als onderdeel van hun algemene voorwaarden. Maar let op: dat betekent niet automatisch dat alles in orde is. Je moet zelf nakijken of de overeenkomst voldoet aan de Europese eisen, vooral als er sprake is van internationale gegevensoverdracht.
De praktijk: hoe ga je hier mee om?
Laten we het concreet maken. Stel: je gebruikt een AI-tool om facturen te verwerken.
Handmatige factuurverwerking kost gemiddeld $22,75 per factuur, en AI kan die tijd met 60% of meer verkorten. De voordelen zijn duidelijk. Maar die AI-tool verwerkt namelijk ook namen, adressen, IBAN-nummers en andere persoonsgegevens.
En de aanbieders zitten vaak in de VS of Azië. Wat moet je dan doen?
AI-tools en de verborgen juridische risico's
Ten eerste: inventariseer welke tools je gebruikt en welke gegevens daar doorheen gaan. Ten tweede: vraag bij elke aanbieder een verwerkersovereenkomst op en controleer of deze voldoet aan de AVG-eisen. Ten derde: beoordeel of er sprake is van gegevensoverdracht naar landen buiten de EU en onderneem in dat geval de nodige stappen.
En hier zit het probleem: veel ondernemers en zelfs IT-teams hebben geen idee welke gegevens er precies door welke tools stromen. No-code tools zijn zo toegankelijk geworden dat iedereen er mee aan de slag kan — zonder dat iemand nadenkt over de juridische kant.
Dat is een recept voor problemen. AI-tools brengen nog een extra laag complexiteit met zich mee.
Werkgevers kunnen aansprakelijk worden gesteld voor discriminatie, privacyschendingen en andere juridische problemen wanneer AI-systemen verkeerde beslissingen nemen. Als een AI-tool bijvoorbeeld sollicitanten selecteert op basis van gegevens die leiden tot discriminatie, draag jij daar als gebruiker de verantwoordelijkheid voor. De verwerkersovereenkomst speelt hierin een cruciale rol. Het moet duidelijk vastleggen dat de aanbieder voldoende transparantie biedt over hoe de AI werkt, welke gegevens worden gebruikt, en welke maatregelen zijn genomen om bias en discriminatie te voorkomen. Zonder die afspraken sta je machteloos als er iets misgaat.
Conclusie: negeer het niet, want het kan je duur komen te staan
No-code tools van buitenlandse aanbieders zijn krachtig, snel en betaalbaar. Maar ze brengen juridische verantwoordelijkheden met zich mee die je niet kunt overslaan.
Een verwerkersovereenkomst is geen papierwerk dat je even ondertekent en vergeten bent. Het is je belangrijkste instrument om controle te houden over wat er met je gegevens gebeurt — vooral als die gegevens de grens overgaan.
Neem het serieus. Inventariseer je tools, vraag de juiste overeenkomsten op, en controleer of alles voldoet aan de Europese regels. Want op het moment dat de Autoriteit Persoonsgegevens aanbelt, wil je niet achteroverleunen en denken: had ik maar eerder naar gekeken.