Compliance

Verwerkersovereenkomst AVG: template en gids

Verwerkersovereenkomst AVG art. 28: verplichte clausules, template, sub-verwerkers, SCC's, AP-handhaving. Praktische gids 2026.

Also available in:Svenska·Português

In één zin. Een verwerkersovereenkomst (DPA) onder AVG artikel 28 is verplicht voor elke relatie waarin een externe partij persoonsgegevens verwerkt namens de verantwoordelijke — en ontbreken levert de AP een directe boetegrond op voor zowel verantwoordelijke als verwerker.

Belangrijkste punten

  • Verplicht met elke verwerker (art. 28 lid 3).
  • Acht verplichte onderwerpen (art. 28 lid 3 sub a-h).
  • EU-modelverwerkersovereenkomst (juni 2021) niet verplicht maar veilig.
  • Sub-verwerker alleen met voorafgaande schriftelijke toestemming.
  • VS-doorgifte vereist Standard Contractual Clauses (2021).
  • Boete art. 28: tot 10 M EUR / 2% omzet (categorie II, basis 310 K EUR).

1. Wanneer DPA nodig

Steeds wanneer derde partij persoonsgegevens verwerkt namens uw organisatie (niet voor eigen doelen) — de basisregel staat in art. 28 AVG en wordt door de Autoriteit Persoonsgegevens actief gehandhaafd. Voorbeelden: cloudprovider, e-mailprovider, payroll, CRM, marketing automation, helpdesk software, IT-onderhoud, hosting, backup, advocatenkantoor (vaak), accountant. Wanneer derde voor eigen doel verwerkt = verantwoordelijke, geen DPA maar art. 26 of gegevensverstrekking.

2. Verantwoordelijke versus verwerker

  • Verantwoordelijke: bepaalt doel en middelen.
  • Verwerker: verwerkt namens, naar instructie.
  • Gezamenlijk verantwoordelijken (art. 26): bepalen samen doel/middelen.

Test: wie bepaalt waarom en hoe? Cloudprovider die alleen infrastructuur biedt = verwerker. Marketingbureau dat eigen campagnes ontwerpt = vaak gezamenlijk verantwoordelijk.

3. Acht verplichte onderwerpen (art. 28 lid 3)

  • a) Alleen verwerken op gedocumenteerde instructie verantwoordelijke (incl. doorgifte derde land).
  • b) Personen onder geheimhoudingsplicht.
  • c) Passende beveiligingsmaatregelen (art. 32).
  • d) Sub-verwerkers alleen met voorafgaande toestemming.
  • e) Bijstand bij rechten betrokkenen (art. 12-22).
  • f) Bijstand bij art. 32-36 (beveiliging, datalek, DPIA, raadpleging AP).
  • g) Bij einde verwerking: gegevens wissen of teruggeven.
  • h) Alle informatie ter beschikking stellen voor compliance + audits toestaan.

4. Aanvullende verplichte inhoud (art. 28 lid 3 eerste zin)

  • Onderwerp en duur verwerking.
  • Aard en doel verwerking.
  • Categorieën persoonsgegevens.
  • Categorieën betrokkenen.
  • Rechten en verplichtingen verantwoordelijke.

5. EU-modelverwerkersovereenkomst

Europese Commissie publiceerde op 4 juni 2021 modelclausules op grond van art. 28 lid 7 AVG. Niet verplicht maar voldoet automatisch aan art. 28. Beschikbaar in alle EU-talen. Geschikt als basis met aanpassingen voor specifieke verwerking. Voorzichtigheid: niet alle leveranciers accepteren modeltekst.

6. Sub-verwerkers

Art. 28 lid 2: verwerker schakelt sub-verwerker alleen in met voorafgaande specifieke of algemene schriftelijke toestemming. Bij algemene toestemming: verwerker informeert over wijzigingen, verantwoordelijke kan bezwaar maken. Sub-verwerker krijgt dezelfde verplichtingen (art. 28 lid 4) — door-doorlegging via back-to-back DPA. Verwerker blijft volledig aansprakelijk.

7. Doorgifte buiten EU: SCC’s

Wanneer verwerker (of sub-verwerker) gegevens verwerkt buiten EU/EER, geldt aanvullend art. 44-49 — zie de volledige gids over internationale doorgifte naar derde landen. Meest gebruikt:

  • Adequaatheidsbesluit (VK, Zwitserland, Japan, Zuid-Korea, e.a.).
  • Standard Contractual Clauses (SCC’s) versie 2021.
  • EU-US Data Privacy Framework (juli 2023, voor VS-deelnemers).
  • Bindende bedrijfsvoorschriften (BCR) voor concerns.

Voor VS-verwerkers zonder DPF-certificering: SCC’s + Transfer Impact Assessment + aanvullende maatregelen (encryptie, pseudonimisering).

8. Standaardclausules voor DPA

Clausule Inhoud kort
Definities Verwijzing naar AVG-definities
Onderwerp en duur Specifiek omschreven
Aard en doel Per verwerking
Type gegevens en betrokkenen Lijst
Verplichtingen verwerker Acht art. 28-onderwerpen
Beveiliging Verwijzing technische bijlage
Sub-verwerkers Procedure + bijlage met lijst
Doorgifte derde landen SCC’s bijgevoegd indien van toepassing
Audit en inspectie Recht verantwoordelijke + voorwaarden
Datalek-procedure Termijn melding aan verantwoordelijke
Aansprakelijkheid Verwijzing AVG art. 82
Beëindiging Wissen of teruggeven gegevens
Geheimhouding Permanent
Toepasselijk recht Nederlands recht + rechtbank

9. Beveiliging als bijlage

Concrete TOM-maatregelen in technische bijlage:

  • Encryptie at rest en in transit.
  • Toegangsbeheer (RBAC, MFA).
  • Logging en monitoring.
  • Backup en herstel.
  • Incident response.
  • Personeelsscreening.
  • Awareness training.
  • Pentests en audits.
  • ISO 27001 / SOC 2 / NEN 7510 certificering.

10. Audit en controle

Art. 28 lid 3 sub h verplicht verwerker tot audits door verantwoordelijke of door verantwoordelijke gemachtigde auditor. Praktisch: jaarlijkse audit-mogelijkheid, kosten verdeling, vertrouwelijkheid, voorwaarden toegang. Veel grote verwerkers leveren standaard SOC 2 Type II of ISO 27001 rapport in plaats van directe audit — accepteerbaar mits scope dekkend.

11. AP-handhaving art. 28

AP heeft sinds 2023 actief gehandhaafd op ontbrekende DPA’s en SCC’s. KPN-boete 2025 (215 K EUR) omvatte ontbrekende verwerkersovereenkomsten met IT-leveranciers. Uber 290 M EUR (2024) primair op doorgifte maar inclusief contractuele tekortkomingen. Praktijk: AP vraagt bij elk onderzoek lijst van alle verwerkers + DPA’s.

12. AP-handhavingscases verwerkersovereenkomst

Verantwoordelijke Jaar Bedrag DPA-issue
Uber 2024 290 M EUR Doorgifte zonder SCC’s/DPF
KPN 2025 215 K EUR Geen DPA’s met IT-leveranciers
Tandartspraktijk 2023 50 K EUR Geen DPA met EPD-leverancier
MKB advocatenkantoor 2024 30 K EUR Geen DPA met cloud + datalek
CNIL Carrefour 2020 2,2 M EUR DPA-tekortkomingen + transparantie

Patroon: DPA-ontbreken zelden enige boetegrond, vaak cumulatief met datalek of doorgifte. AP vraagt bij elk onderzoek lijst verwerkers + DPA’s binnen 4 weken (art. 5:16 Awb). Zie AP boetes 2025.

13. Veelvoorkomende fouten in DPA-praktijk

  • DPA getekend maar nooit gecontroleerd op naleving (geen audit).
  • Sub-verwerkers veranderen zonder kennisgeving.
  • Beveiligingsbijlage generiek (“ISO 27001”) zonder concrete TOM.
  • Datalek-meldtermijn aan verantwoordelijke te lang (>48 uur maakt 72-uurs AP-melding onhaalbaar).
  • VS-leverancier zonder DPF-status of zonder SCC’s.
  • Audit-rechten contractueel beperkt tot “SOC 2 rapport” zonder eigen onderzoek.
  • Bij einde contract geen wis- of teruggave-procedure.
  • Generieke DPA voor zeer verschillende verwerkingen — granulariteit ontbreekt.

CJEU Deutsche Wohnen (C-807/21, december 2023): bevestigt dat ontbrekende DPA’s verzwarende factor zijn bij boetebepaling. Voor AVG Art. 32 beveiliging en Datalekken melden.

14. Praktische DPA-checklist

  1. Inventariseer alle verwerkers (registerentry per leverancier).
  2. Classificeer: verwerker, verantwoordelijke of gezamenlijk.
  3. Sluit DPA met elke verwerker.
  4. Voor VS-verwerkers: SCC’s + TIA.
  5. Vraag SOC 2 / ISO 27001 op.
  6. Documenteer sub-verwerkers en wijzigingen.
  7. Configureer datalek-meldingsproces.
  8. Implementeer audit-recht.
  9. Plan jaarlijkse evaluatie.
  10. Update register verwerkingsactiviteiten.

FAQ

Mag ik standaard DPA van leverancier accepteren?

Vaak ja, mits inhoud voldoet aan art. 28 lid 3 (acht onderwerpen). Grote leveranciers (Microsoft, Google, AWS) leveren AVG-conforme DPA’s. Lees altijd: beveiligingsniveau, audit-rechten, sub-verwerkers, doorgifte-clausules.

Heb ik een DPA nodig met mijn accountant?

Discussie. Accountant met audit-opdracht is doorgaans zelfstandig verantwoordelijke (eigen beroepsregels). Accountant die alleen verwerkt namens (boekhouding voeren) is verwerker. Bij twijfel: DPA sluiten.

Wat als de verwerker eigen sub-verwerkers wil inschakelen?

Vereist voorafgaande toestemming (art. 28 lid 2). Algemene toestemming met meldingsplicht is gangbaar. Verantwoordelijke moet bezwaarrecht behouden — anders verwerking met die sub-verwerker stoppen.

Is een DPA met VS-leverancier mogelijk?

Ja, mits Standard Contractual Clauses (versie 2021) plus Transfer Impact Assessment plus aanvullende maatregelen (technische, organisatorische). Sinds DPF (juli 2023) ook mogelijk via DPF-certificering van leverancier.

Wat als de verwerker geen DPA wil tekenen?

Werk niet samen. Verwerking zonder DPA = overtreding art. 28, boete tot 10 M EUR. Daarnaast risico op boete art. 5 en art. 32 indien gegevens onbeveiligd worden verwerkt door leverancier zonder contractuele waarborgen.

Hoe ga ik om met SaaS-leveranciers die geen onderhandeling toestaan?

Grote SaaS (Microsoft, Google, AWS, Salesforce) bieden eigen DPA-templates. Lees kritisch op: art. 28-dekking, sub-verwerkers-lijst, doorgifte-clausules, datalek-meldtermijn (vaak >24u, problematisch), audit-rechten (vaak alleen SOC 2). Bij dealbreakers: alternatieve leverancier. Voor MKB praktisch: accepteer standaard-DPA mits acht onderwerpen gedekt, documenteer onaanvaardbare punten in eigen risk-register.

Hoe vaak moet ik DPA’s evalueren?

Jaarlijks formeel (verwerkers-lijst doorlopen, DPA-versie controleren, sub-verwerkers-lijst opvragen). Bij elke contractwijziging tussentijds. Bij sub-verwerkers-wijziging conform algemene toestemming-procedure. Bij DPF-status wijziging (jaarlijkse hercertificering): verifieren. Voor Register verwerkingsactiviteiten is registerentry per verwerker basis voor monitoring.

Wat betekent “instructie van verantwoordelijke”?

Art. 28 lid 3 sub a: verwerker handelt alleen op gedocumenteerde instructie. Instructie is doorgaans de DPA zelf + technische configuratie. Verwerker mag niet voor eigen doelen verwerken (anders wordt verantwoordelijke). Wanneer verwerker eigen doel introduceert (bijv. AI-training op klantdata): wordt joint controller of zelfstandig verantwoordelijke — apart juridisch kader. OpenAI-discussie 2024 illustreert: ChatGPT-API-gebruik vereist no-retention-clausule.

Geldt DPA ook voor concern-interne overdrachten?

Ja, indien tussen aparte rechtspersonen. Concern-vennootschap die persoonsgegevens verwerkt voor andere concern-entiteit = verwerker (of joint controller). DPA verplicht, ondanks dat het concern is. Alternatief: Bindende Bedrijfsvoorschriften (BCR’s, art. 47) voor structurele intra-group verwerking, met AP-goedkeuring. Voor AP toezichthouder procedure.

Zie ook: AVG voor zzp’ers.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →