De AVG verplicht elke verwerkingsverantwoordelijke om overeenkomsten af te sluiten met de verwerkers waarop hij/zij een beroep doet. Uit de thema-audit informatiebeveiliging van Audit Vlaanderen blijkt ook dat dergelijke leveranciersrelaties overal nog voor verbetering vatbaar zijn, een problematiek waar het best overkoepelend een oplossing voor wordt uitgewerkt. ​​

De lokale besturen worden geconfronteerd met een veelheid aan overeenkomsten voor de verwerking van (persoons-)gegevens, afkomstig van verscheidene verwerkers. Het is voor individuele besturen moeilijk te achterhalen of al deze verwerkingsovereenkomsten inhoudelijk en juridisch sluitend zijn en of de verantwoordelijkheden correct zijn verwoord. De VVSG heeft één generiek sjabloon opgesteld dat de basis vormt voor elke verwerkingsovereenkomst. Samen met de VVSG-werkgroep Informatieveiligheid​ zijn we tot een definitief model gekomen. Dit model is gebaseerd op het sjabloon van de​ Juridische werkgroep GDPR van de Vlaamse overheid en werd doorsproken met een aantal belangrijke verwerkers en informaticaleveranciers van de lokale besturen.

We adviseren de lokale besturen om dit model zoveel mogelijk te gebruiken en dit voor bestaande overeenkomsten waarvoor nog geen verwerkingsovereenkomst is gesloten, voor herevaluatie van ondertussen afgesloten verwerkingsovereenkomsten, en zeker ook als standaardmodel bij nieuwe opdrachten, als​ bijlage bij een bestek.​