Verwerkersovereenkomst opstellen conform AVG Artikel 28

Beantwoord 5 vragen over de partijen, de aard van de verwerking en de beveiligingsmaatregelen. We stellen een AVG-conforme verwerkersovereenkomst voor je samen — klaar om te ondertekenen. Download direct als PDF, zonder account.

1
2
3
4
5
Stap 1 van 5

Verwerkingsverantwoordelijke

De partij die bepaalt welke gegevens verwerkt worden en waarvoor — meestal de opdrachtgever.

Wat is een verwerkersovereenkomst en wanneer heb je die nodig?

Een verwerkersovereenkomst (ook wel data processing agreement of DPA) is een contract tussen een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke bepaalt het doel van de gegevensverwerking; de verwerker voert de verwerking uit namens de verantwoordelijke. AVG Artikel 28 verplicht je deze afspraken schriftelijk vast te leggen.

Is een verwerkersovereenkomst verplicht?

Ja. Zodra je als verwerkingsverantwoordelijke een derde partij inschakelt om persoonsgegevens namens jou te verwerken, ben je op grond van AVG Artikel 28 verplicht een verwerkersovereenkomst te sluiten. Voorbeelden van situaties waarin je er één nodig hebt:

  • Je gebruikt een e-mailmarketingplatform (bijv. Mailchimp of ActiveCampaign)
  • Je maakt gebruik van een hostingprovider die toegang heeft tot klantdata
  • Je gebruikt boekhoudsoftware die klantgegevens verwerkt
  • Je schakelt een externe salarisadministrateur of HR-partij in
  • Je gebruikt een CRM-systeem dat persoonsgegevens opslaat

Wat moet erin staan?

Conform AVG Artikel 28, lid 3 moet een verwerkersovereenkomst minimaal de volgende onderdelen bevatten:

  • Het onderwerp en de duur van de verwerking
  • De aard en het doel van de verwerking
  • Het soort persoonsgegevens en de categorieën betrokkenen
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke
  • De verplichting uitsluitend op schriftelijke instructie te verwerken
  • Vertrouwelijkheidsverplichtingen voor betrokken medewerkers
  • Technische en organisatorische beveiligingsmaatregelen (conform AVG Artikel 32)
  • Regeling voor het inschakelen van sub-verwerkers
  • Medewerking bij het nakomen van de rechten van betrokkenen
  • Verwijdering of teruggave van persoonsgegevens na afloop

Verwerkingsverantwoordelijke of verwerker: wat ben jij?

Ben jij degene die bepaalt waarom en hoe persoonsgegevens worden verwerkt? Dan ben je de verwerkingsverantwoordelijke en schakel je verwerkers in. Lever je zelf diensten waarbij je klantgegevens verwerkt in opdracht van een andere partij? Dan ben jij de verwerker en ben je verplicht een verwerkersovereenkomst aan te bieden aan jouw opdrachtgever.

Let op: een verwerkersovereenkomst moet door beide partijen worden ondertekend om rechtsgeldig te zijn. De gegenereerde tekst is een concept — bij twijfel of bijzondere omstandigheden raden we aan een privacyspecialist of jurist te raadplegen.

Veelgestelde vragen

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst (ook wel data processing agreement of DPA) is een schriftelijk contract tussen een verwerkingsverantwoordelijke en een verwerker. Daarin leg je vast hoe de verwerker persoonsgegevens mag verwerken, welke beveiligingsmaatregelen gelden en wat er met de gegevens gebeurt na afloop van de samenwerking. De verplichting om dit contract af te sluiten volgt uit AVG Artikel 28.

Wanneer heb ik een verwerkersovereenkomst nodig?

Je hebt een verwerkersovereenkomst nodig zodra je een externe partij inschakelt die persoonsgegevens namens jou verwerkt. Voorbeelden zijn: een e-mailmarketingplatform (zoals Mailchimp), een hostingprovider met toegang tot klantdata, boekhoudsoftware, een CRM-systeem of een externe salarisadministrateur. Je hebt geen verwerkersovereenkomst nodig als de externe partij de gegevens voor eigen doeleinden verwerkt — dan is die partij zelf verwerkingsverantwoordelijke.

Is een verwerkersovereenkomst verplicht onder de AVG?

Ja, een verwerkersovereenkomst is verplicht op grond van AVG Artikel 28, lid 3. De verplichting geldt voor iedere verwerkingsverantwoordelijke die een verwerker inschakelt, ongeacht de omvang van het bedrijf. Zonder geldige verwerkersovereenkomst overtreedt je de AVG, wat kan leiden tot boetes van de Autoriteit Persoonsgegevens.

Bekijk alle juridische documenten

Naast de verwerkersovereenkomst kun je ook gratis een privacyverklaring en algemene voorwaarden maken — allemaal in dezelfde eenvoudige wizard.

Alle documenten bekijken →
Verwerkersovereenkomst maken | AVG Artikel 28 — Documentmaker — Documentmaker