In één zin. Een verwerkersovereenkomst (DPA) onder AVG artikel 28 is verplicht voor elke relatie waarin een externe partij persoonsgegevens verwerkt namens de verantwoordelijke — en ontbreken levert de AP een directe boetegrond op voor zowel verantwoordelijke als verwerker.
Belangrijkste punten
- Verplicht met elke verwerker (art. 28 lid 3).
- Acht verplichte onderwerpen (art. 28 lid 3 sub a-h).
- EU-modelverwerkersovereenkomst (juni 2021) niet verplicht maar veilig.
- Sub-verwerker alleen met voorafgaande schriftelijke toestemming.
- VS-doorgifte vereist Standard Contractual Clauses (2021).
- Boete art. 28: tot 10 M EUR / 2% omzet (categorie II, basis 310 K EUR).
1. Wanneer DPA nodig
Steeds wanneer derde partij persoonsgegevens verwerkt namens uw organisatie (niet voor eigen doelen) — de basisregel staat in art. 28 AVG en wordt door de Autoriteit Persoonsgegevens actief gehandhaafd. Voorbeelden: cloudprovider, e-mailprovider, payroll, CRM, marketing automation, helpdesk software, IT-onderhoud, hosting, backup, advocatenkantoor (vaak), accountant. Wanneer derde voor eigen doel verwerkt = verantwoordelijke, geen DPA maar art. 26 of gegevensverstrekking.
2. Verantwoordelijke versus verwerker
- Verantwoordelijke: bepaalt doel en middelen.
- Verwerker: verwerkt namens, naar instructie.
- Gezamenlijk verantwoordelijken (art. 26): bepalen samen doel/middelen.
Test: wie bepaalt waarom en hoe? Cloudprovider die alleen infrastructuur biedt = verwerker. Marketingbureau dat eigen campagnes ontwerpt = vaak gezamenlijk verantwoordelijk.
3. Acht verplichte onderwerpen (art. 28 lid 3)
- a) Alleen verwerken op gedocumenteerde instructie verantwoordelijke (incl. doorgifte derde land).
- b) Personen onder geheimhoudingsplicht.
- c) Passende beveiligingsmaatregelen (art. 32).
- d) Sub-verwerkers alleen met voorafgaande toestemming.
- e) Bijstand bij rechten betrokkenen (art. 12-22).
- f) Bijstand bij art. 32-36 (beveiliging, datalek, DPIA, raadpleging AP).
- g) Bij einde verwerking: gegevens wissen of teruggeven.
- h) Alle informatie ter beschikking stellen voor compliance + audits toestaan.
4. Aanvullende verplichte inhoud (art. 28 lid 3 eerste zin)
- Onderwerp en duur verwerking.
- Aard en doel verwerking.
- Categorieën persoonsgegevens.
- Categorieën betrokkenen.
- Rechten en verplichtingen verantwoordelijke.
5. EU-modelverwerkersovereenkomst
Europese Commissie publiceerde op 4 juni 2021 modelclausules op grond van art. 28 lid 7 AVG. Niet verplicht maar voldoet automatisch aan art. 28. Beschikbaar in alle EU-talen. Geschikt als basis met aanpassingen voor specifieke verwerking. Voorzichtigheid: niet alle leveranciers accepteren modeltekst.
6. Sub-verwerkers
Art. 28 lid 2: verwerker schakelt sub-verwerker alleen in met voorafgaande specifieke of algemene schriftelijke toestemming. Bij algemene toestemming: verwerker informeert over wijzigingen, verantwoordelijke kan bezwaar maken. Sub-verwerker krijgt dezelfde verplichtingen (art. 28 lid 4) — door-doorlegging via back-to-back DPA. Verwerker blijft volledig aansprakelijk.
7. Doorgifte buiten EU: SCC’s
Wanneer verwerker (of sub-verwerker) gegevens verwerkt buiten EU/EER, geldt aanvullend art. 44-49 — zie de volledige gids over internationale doorgifte naar derde landen. Meest gebruikt:
- Adequaatheidsbesluit (VK, Zwitserland, Japan, Zuid-Korea, e.a.).
- Standard Contractual Clauses (SCC’s) versie 2021.
- EU-US Data Privacy Framework (juli 2023, voor VS-deelnemers).
- Bindende bedrijfsvoorschriften (BCR) voor concerns.
Voor VS-verwerkers zonder DPF-certificering: SCC’s + Transfer Impact Assessment + aanvullende maatregelen (encryptie, pseudonimisering).
8. Standaardclausules voor DPA
| Clausule | Inhoud kort |
|---|---|
| Definities | Verwijzing naar AVG-definities |
| Onderwerp en duur | Specifiek omschreven |
| Aard en doel | Per verwerking |
| Type gegevens en betrokkenen | Lijst |
| Verplichtingen verwerker | Acht art. 28-onderwerpen |
| Beveiliging | Verwijzing technische bijlage |
| Sub-verwerkers | Procedure + bijlage met lijst |
| Doorgifte derde landen | SCC’s bijgevoegd indien van toepassing |
| Audit en inspectie | Recht verantwoordelijke + voorwaarden |
| Datalek-procedure | Termijn melding aan verantwoordelijke |
| Aansprakelijkheid | Verwijzing AVG art. 82 |
| Beëindiging | Wissen of teruggeven gegevens |
| Geheimhouding | Permanent |
| Toepasselijk recht | Nederlands recht + rechtbank |
9. Beveiliging als bijlage
Concrete TOM-maatregelen in technische bijlage:
- Encryptie at rest en in transit.
- Toegangsbeheer (RBAC, MFA).
- Logging en monitoring.
- Backup en herstel.
- Incident response.
- Personeelsscreening.
- Awareness training.
- Pentests en audits.
- ISO 27001 / SOC 2 / NEN 7510 certificering.
10. Audit en controle
Art. 28 lid 3 sub h verplicht verwerker tot audits door verantwoordelijke of door verantwoordelijke gemachtigde auditor. Praktisch: jaarlijkse audit-mogelijkheid, kosten verdeling, vertrouwelijkheid, voorwaarden toegang. Veel grote verwerkers leveren standaard SOC 2 Type II of ISO 27001 rapport in plaats van directe audit — accepteerbaar mits scope dekkend.
11. AP-handhaving art. 28
AP heeft sinds 2023 actief gehandhaafd op ontbrekende DPA’s en SCC’s. KPN-boete 2025 (215 K EUR) omvatte ontbrekende verwerkersovereenkomsten met IT-leveranciers. Uber 290 M EUR (2024) primair op doorgifte maar inclusief contractuele tekortkomingen. Praktijk: AP vraagt bij elk onderzoek lijst van alle verwerkers + DPA’s.
12. AP-handhavingscases verwerkersovereenkomst
| Verantwoordelijke | Jaar | Bedrag | DPA-issue |
|---|---|---|---|
| Uber | 2024 | 290 M EUR | Doorgifte zonder SCC’s/DPF |
| KPN | 2025 | 215 K EUR | Geen DPA’s met IT-leveranciers |
| Tandartspraktijk | 2023 | 50 K EUR | Geen DPA met EPD-leverancier |
| MKB advocatenkantoor | 2024 | 30 K EUR | Geen DPA met cloud + datalek |
| CNIL Carrefour | 2020 | 2,2 M EUR | DPA-tekortkomingen + transparantie |
Patroon: DPA-ontbreken zelden enige boetegrond, vaak cumulatief met datalek of doorgifte. AP vraagt bij elk onderzoek lijst verwerkers + DPA’s binnen 4 weken (art. 5:16 Awb). Zie AP boetes 2025.
13. Veelvoorkomende fouten in DPA-praktijk
- DPA getekend maar nooit gecontroleerd op naleving (geen audit).
- Sub-verwerkers veranderen zonder kennisgeving.
- Beveiligingsbijlage generiek (“ISO 27001”) zonder concrete TOM.
- Datalek-meldtermijn aan verantwoordelijke te lang (>48 uur maakt 72-uurs AP-melding onhaalbaar).
- VS-leverancier zonder DPF-status of zonder SCC’s.
- Audit-rechten contractueel beperkt tot “SOC 2 rapport” zonder eigen onderzoek.
- Bij einde contract geen wis- of teruggave-procedure.
- Generieke DPA voor zeer verschillende verwerkingen — granulariteit ontbreekt.
CJEU Deutsche Wohnen (C-807/21, december 2023): bevestigt dat ontbrekende DPA’s verzwarende factor zijn bij boetebepaling. Voor AVG Art. 32 beveiliging en Datalekken melden.
14. Praktische DPA-checklist
- Inventariseer alle verwerkers (registerentry per leverancier).
- Classificeer: verwerker, verantwoordelijke of gezamenlijk.
- Sluit DPA met elke verwerker.
- Voor VS-verwerkers: SCC’s + TIA.
- Vraag SOC 2 / ISO 27001 op.
- Documenteer sub-verwerkers en wijzigingen.
- Configureer datalek-meldingsproces.
- Implementeer audit-recht.
- Plan jaarlijkse evaluatie.
- Update register verwerkingsactiviteiten.
FAQ
Mag ik standaard DPA van leverancier accepteren?
Vaak ja, mits inhoud voldoet aan art. 28 lid 3 (acht onderwerpen). Grote leveranciers (Microsoft, Google, AWS) leveren AVG-conforme DPA’s. Lees altijd: beveiligingsniveau, audit-rechten, sub-verwerkers, doorgifte-clausules.
Heb ik een DPA nodig met mijn accountant?
Discussie. Accountant met audit-opdracht is doorgaans zelfstandig verantwoordelijke (eigen beroepsregels). Accountant die alleen verwerkt namens (boekhouding voeren) is verwerker. Bij twijfel: DPA sluiten.
Wat als de verwerker eigen sub-verwerkers wil inschakelen?
Vereist voorafgaande toestemming (art. 28 lid 2). Algemene toestemming met meldingsplicht is gangbaar. Verantwoordelijke moet bezwaarrecht behouden — anders verwerking met die sub-verwerker stoppen.
Is een DPA met VS-leverancier mogelijk?
Ja, mits Standard Contractual Clauses (versie 2021) plus Transfer Impact Assessment plus aanvullende maatregelen (technische, organisatorische). Sinds DPF (juli 2023) ook mogelijk via DPF-certificering van leverancier.
Wat als de verwerker geen DPA wil tekenen?
Werk niet samen. Verwerking zonder DPA = overtreding art. 28, boete tot 10 M EUR. Daarnaast risico op boete art. 5 en art. 32 indien gegevens onbeveiligd worden verwerkt door leverancier zonder contractuele waarborgen.
Hoe ga ik om met SaaS-leveranciers die geen onderhandeling toestaan?
Grote SaaS (Microsoft, Google, AWS, Salesforce) bieden eigen DPA-templates. Lees kritisch op: art. 28-dekking, sub-verwerkers-lijst, doorgifte-clausules, datalek-meldtermijn (vaak >24u, problematisch), audit-rechten (vaak alleen SOC 2). Bij dealbreakers: alternatieve leverancier. Voor MKB praktisch: accepteer standaard-DPA mits acht onderwerpen gedekt, documenteer onaanvaardbare punten in eigen risk-register.
Hoe vaak moet ik DPA’s evalueren?
Jaarlijks formeel (verwerkers-lijst doorlopen, DPA-versie controleren, sub-verwerkers-lijst opvragen). Bij elke contractwijziging tussentijds. Bij sub-verwerkers-wijziging conform algemene toestemming-procedure. Bij DPF-status wijziging (jaarlijkse hercertificering): verifieren. Voor Register verwerkingsactiviteiten is registerentry per verwerker basis voor monitoring.
Wat betekent “instructie van verantwoordelijke”?
Art. 28 lid 3 sub a: verwerker handelt alleen op gedocumenteerde instructie. Instructie is doorgaans de DPA zelf + technische configuratie. Verwerker mag niet voor eigen doelen verwerken (anders wordt verantwoordelijke). Wanneer verwerker eigen doel introduceert (bijv. AI-training op klantdata): wordt joint controller of zelfstandig verantwoordelijke — apart juridisch kader. OpenAI-discussie 2024 illustreert: ChatGPT-API-gebruik vereist no-retention-clausule.
Geldt DPA ook voor concern-interne overdrachten?
Ja, indien tussen aparte rechtspersonen. Concern-vennootschap die persoonsgegevens verwerkt voor andere concern-entiteit = verwerker (of joint controller). DPA verplicht, ondanks dat het concern is. Alternatief: Bindende Bedrijfsvoorschriften (BCR’s, art. 47) voor structurele intra-group verwerking, met AP-goedkeuring. Voor AP toezichthouder procedure.
Zie ook: AVG voor zzp’ers.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial