Een verwerkersovereenkomst is de verplichte schriftelijke overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker, voorgeschreven door artikel 28 AVG. U heeft er een nodig zodra een externe partij persoonsgegevens namens u verwerkt — denk aan uw clouddienst, boekhoudkantoor, payrollverwerker, e-mailmarketingtool of hostingpartij. De overeenkomst moet minimaal negen onderwerpen regelen, waaronder het onderwerp en de duur, de instructiegebondenheid van de verwerker, geheimhouding, beveiliging, de inzet van subverwerkers, bijstand aan de verantwoordelijke, en verwijdering of teruggave van de gegevens na afloop. Zonder verwerkersovereenkomst zijn beide partijen in overtreding. Hieronder de verplichte clausules en een modelcontract om van te vertrekken.
Deze pagina behandelt de verplichte inhoud en het model. Voor een kant-en-klaar sjabloon en de praktische opstelpunten verwijzen we naar onze verwerkersovereenkomst template.
Wanneer heeft u een verwerkersovereenkomst nodig?
De sleutel is de rolverdeling. U bent verwerkingsverantwoordelijke wanneer u doel en middelen van de verwerking bepaalt. Een verwerker verwerkt gegevens uitsluitend in uw opdracht en volgens uw instructies. Zodra u zo’n externe partij inschakelt, is een verwerkersovereenkomst verplicht. Let op het onderscheid met een gezamenlijke verantwoordelijkheid (art. 26) — als beide partijen mede het doel bepalen, is er geen sprake van een verwerker maar van joint controllers, met een andere regeling.
Twijfelt u over de rol van een leverancier? Beoordeel wie beslist waarvoor en hoe de gegevens worden gebruikt. Een payrollpartij die strikt uw loonopdrachten uitvoert, is verwerker; een arbodienst die eigen medische afwegingen maakt, is vaak zelf verantwoordelijke.
De verplichte clausules (art. 28 lid 3)
De overeenkomst moet ten minste het volgende regelen:
| # | Verplichte clausule | Kern |
|---|---|---|
| 1 | Onderwerp, duur, aard en doel | Wat wordt verwerkt en waarom |
| 2 | Instructiegebondenheid | Verwerker handelt alleen op gedocumenteerde instructie |
| 3 | Geheimhouding | Personen met toegang zijn tot vertrouwelijkheid gehouden |
| 4 | Beveiliging (art. 32) | Passende technische en organisatorische maatregelen |
| 5 | Subverwerkers | Alleen met toestemming; doorleggen van verplichtingen |
| 6 | Bijstand rechten betrokkenen | Helpen bij inzage-, wis- en bezwaarverzoeken |
| 7 | Bijstand bij plichten | DPIA, datalekmelding, beveiliging |
| 8 | Teruggave of verwijdering | Na afloop gegevens wissen of retourneren |
| 9 | Auditrecht | Verantwoordelijke mag controleren en informatie opvragen |
Een overeenkomst die een van deze punten mist, is niet AVG-conform — ook niet als de leverancier “een standaard DPA” aanbiedt. Toets elk aangeboden contract tegen deze negen punten.
Modelcontract: de kernbepalingen
Een bruikbaar model bevat, naast de gebruikelijke partijgegevens, ten minste deze bepalingen in eigen bewoordingen:
- Verwerkingsomschrijving (bijlage): categorieën betrokkenen, categorieën gegevens, doel en duur — sluit aan op uw verwerkingsregister.
- Instructieclausule: “De verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verantwoordelijke.”
- Beveiligingsbijlage: een concrete opsomming van de technische en organisatorische maatregelen (encryptie, toegangsbeheer, back-up, logging).
- Subverwerkersbijlage: een actuele lijst van subverwerkers, met een meldings- of goedkeuringsregeling voor wijzigingen.
- Datalekclausule: de verwerker meldt een incident onverwijld, zodat de verantwoordelijke de 72-uurstermijn richting de AP haalt.
- Doorgifteclausule: bij verwerking buiten de EER passende waarborgen zoals de modelcontractbepalingen (SCC’s) — zie internationale doorgifte.
- Exitclausule: teruggave of gecertificeerde verwijdering na afloop, met bewijs.
Subverwerkers: de zwakke plek
De meeste risico’s zitten in de keten. Een verwerker (bijvoorbeeld een SaaS-leverancier) schakelt vaak eigen subverwerkers in (hosting, e-mail, monitoring). Artikel 28 lid 4 eist dat de verwerker dezelfde verplichtingen contractueel doorlegt aan die subverwerkers. Vraag daarom altijd om een actuele subverwerkerslijst en om een meldingsplicht bij wijzigingen. Ontbreekt die keten, dan is uw eigen dossier lek — ook al heeft u zelf een keurige overeenkomst getekend.
Hoe de AP verwerkersafspraken toetst
De AP vraagt bij een onderzoek standaard naar de verwerkersovereenkomsten die bij uw register horen. Ontbrekende of gebrekkige overeenkomsten wegen mee in handhaving: in Nederland zijn verwerkersafspraken meegenomen als onderdeel van bredere accountability-tekortkomingen. Een verwerkersovereenkomst is bovendien de plek waar de beveiligings- en datalekafspraken juridisch worden verankerd — twee onderwerpen waar de AP, gezien de ruim 20.000 datalekmeldingen per jaar in Nederland, scherp op let.
Van modelcontract naar beheer
Eén ondertekende overeenkomst is niet genoeg; u moet ze bijhouden. Koppel elke verwerkersovereenkomst aan de bijbehorende registerentry, bewaak de subverwerkerswijzigingen en herzie de contracten periodiek. Bij tientallen leveranciers wordt dat handmatig onbeheersbaar. Een compliancetool zoals Legiscope inventariseert de overeenkomsten, toetst de clausules tegen artikel 28 en signaleert ontbrekende of verlopen afspraken.
Veelvoorkomende fouten in verwerkersovereenkomsten
Zelfs organisaties die netjes overeenkomsten sluiten, maken terugkerende fouten:
- Blind tekenen van de standaard-DPA. De aangeboden overeenkomst van een grote leverancier dekt niet altijd alle negen onderwerpen; toets elke tekst.
- De subverwerkerslijst negeren. Zonder actuele lijst en wijzigingsmelding is uw keten oncontroleerbaar.
- Geen beveiligingsbijlage. Een verwijzing naar “passende maatregelen” zonder concrete invulling is te vaag.
- Doorgifte over het hoofd zien. Veel clouddiensten verwerken (deels) buiten de EER; de doorgifteclausule ontbreekt dan.
- Geen exitregeling. Zonder afspraak over teruggave of verwijdering blijven uw gegevens na afloop bij de leverancier.
- De overeenkomst niet koppelen aan het register. Een losse map met contracten geeft geen overzicht van welke overeenkomst bij welke verwerking hoort.
Rolverdeling: verantwoordelijke, verwerker of joint controller?
De juiste overeenkomst begint bij de juiste rolbepaling. Drie situaties komen voor: u bent verantwoordelijke en de ander verwerker (verwerkersovereenkomst, art. 28); u bent gezamenlijk verantwoordelijk met een andere partij die mede het doel bepaalt (regeling op grond van art. 26, geen verwerkersovereenkomst); of beide partijen zijn zelfstandig verantwoordelijke en wisselen gegevens uit op een eigen grondslag (geen verwerkersovereenkomst, wel afspraken). Een verkeerde rolbepaling leidt tot het verkeerde contract — en tot een gat in uw dossier dat de AP direct opmerkt. Beoordeel per relatie wie beslist over doel en middelen; dat bepaalt welk instrument u nodig heeft.
Aansprakelijkheid in de keten
Artikel 82 AVG maakt zowel de verantwoordelijke als de verwerker aansprakelijk voor schade door onrechtmatige verwerking. Een betrokkene kan de volledige schade bij één partij claimen; die kan vervolgens regres nemen op de ander naar rato van ieders aandeel in de schade. Dat maakt de verwerkersovereenkomst niet alleen een compliance-document maar ook een risicoverdelingsinstrument: de beveiligings-, datalek- en subverwerkersclausules bepalen wie waarvoor opdraait als het misgaat. Onderhandel deze bepalingen dus niet weg om snel te kunnen tekenen. Een verwerker die weigert een concrete beveiligingsbijlage of een sluitende subverwerkersregeling op te nemen, verschuift het risico stilzwijgend naar u als verantwoordelijke — en laat u met een zwakker dossier achter zodra de AP of een gedupeerde betrokkene aanklopt.
Veelgestelde vragen
Heb ik voor elke leverancier een verwerkersovereenkomst nodig?
Alleen voor leveranciers die persoonsgegevens namens u verwerken (verwerkers). Voor partijen die als zelfstandig verantwoordelijke optreden — bijvoorbeeld uw accountant voor de wettelijke jaarrekening of een bank — geldt geen verwerkersovereenkomst, maar een andere grondslag. Beoordeel per leverancier wie doel en middelen bepaalt.
Volstaat de standaard-DPA van mijn leverancier?
Niet automatisch. Grote leveranciers bieden een standaardovereenkomst, maar u blijft verantwoordelijk om die te toetsen tegen de negen verplichte onderwerpen van artikel 28 lid 3, inclusief de subverwerkers- en doorgifteclausules. Teken niet blind.
Wat gebeurt er bij een datalek bij mijn verwerker?
De verwerker moet u onverwijld informeren, zodat u als verantwoordelijke kunt beoordelen of melding bij de AP binnen 72 uur nodig is. Leg die meldingsplicht expliciet vast in de overeenkomst; de eindverantwoordelijkheid voor de melding blijft bij u.
Mag de verwerker gegevens buiten de EER verwerken?
Alleen met passende waarborgen, zoals de door de Europese Commissie vastgestelde modelcontractbepalingen (SCC’s) en zo nodig aanvullende maatregelen na de Schrems II-uitspraak. Neem dat expliciet op in de doorgifteclausule en documenteer de waarborgen.
Conclusie
De verwerkersovereenkomst is de juridische ruggengraat van elke uitbestede gegevensverwerking: verplicht onder artikel 28, met negen onderwerpen die volledig geregeld moeten zijn. Gebruik het model hierboven als vertrekpunt, besteed extra aandacht aan de subverwerkersketen en de datalek- en doorgifteclausules, en toets elke aangeboden standaard-DPA in plaats van hem blind te tekenen. Koppel elke overeenkomst aan uw register en beheer ze als levend geheel — bij meer dan een handvol leveranciers loont software die de clausules automatisch tegen artikel 28 toetst.
Zie ook: AVG voor SaaS-bedrijven en verwerkingsverantwoordelijke of verwerker.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial