Verwerkersovereenkomst: Wanneer Verplicht?

Leestijd: 5 minuten | Update: November 2025

---

Je gebruikt waarschijnlijk tientallen online tools voor je bedrijf: email, cloud storage, boekhouding, CRM, website hosting. Maar wist je dat je voor elke tool die toegang heeft tot klantgegevens een verwerkersovereenkomst nodig hebt?

Geen zorgen: het klinkt complexer dan het is. In deze gids leg ik uit wat een verwerkersovereenkomst is, wanneer je er een nodig hebt, en hoe je het in 30 minuten regelt.

Wat Is Een Verwerkersovereenkomst?

Een verwerkersovereenkomst (ook wel Data Processing Agreement of DPA genoemd) is een contract tussen jou en een externe partij die persoonsgegevens verwerkt in jouw opdracht.

In gewone mensentaal: Als je een dienst gebruikt die klantgegevens opslaat of verwerkt, moet je contractueel afspreken hoe die partij met die data omgaat.

De AVG-termen:

• Jij = Verwerkingsverantwoordelijke (controller) – je bepaalt waarom en hoe data wordt verwerkt
• De dienstverlener = Verwerker (processor) – voert taken uit in jouw opdracht

Voorbeeld: Je gebruikt Mailchimp om nieuwsbrieven te versturen. Mailchimp heeft toegang tot emailadressen en namen van je klanten. Volgens de GDPR ben jij verantwoordelijk voor hoe Mailchimp met die data omgaat. Daarom moet je een verwerkersovereenkomst met hen hebben.

Waarom Is Dit Verplicht?

Artikel 28 AVG stelt:

“De verwerking door een verwerker wordt geregeld bij een contract (…) waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen zijn vastgesteld.”

In het Nederlands: Je moet contractueel vastleggen:

• Wat de dienstverlener met de data mag doen
• Hoe ze de data beveiligen
• Wat er gebeurt bij datalekken
• Wat er gebeurt na beëindiging van het contract

Zonder verwerkersovereenkomst:

• Je bent niet AVG-compliant
• Bij een GBA-inspectie krijg je een waarschuwing of boete
• Bij een datalek ben je mogelijk aansprakelijk
• Je hebt geen juridische garantie dat de verwerker correct handelt

Wanneer Heb Je Een Verwerkersovereenkomst Nodig?

✅ JA, je hebt een DPA nodig:

Cloud & IT-diensten:

• Google Workspace (Gmail, Drive)
• Microsoft 365
• Dropbox, OneDrive, iCloud
• Website hosting (als er klantgegevens op staan)

Marketing & CRM:

• Mailchimp, Sendinblue, ActiveCampaign
• HubSpot, Salesforce, Pipedrive
• Google Analytics, Facebook Pixel
• Social media scheduling tools

Financieel:

• Boekhoudpakketten (Exact, Yuki, Teamleader)
• Betaalproviders (Stripe, Mollie, Worldline)
• Salarisverwerkers

Operationeel:

• Klantenservice tools (Zendesk, Intercom)
• Reserveringssystemen
• Webshop platforms (Shopify, WooCommerce)

Professionele diensten:

• IT-support bedrijven (met toegang tot systemen)
• Externe boekhouder (als die klantgegevens verwerkt)
• Callcenter dat namens jou belt

❌ NEE, geen DPA nodig:

• Leveranciers die GEEN toegang hebben tot persoonsgegevens
• Diensten die je privé gebruikt (niet zakelijk)
• Partijen waarmee je samen verwerkingsverantwoordelijke bent (bijv. bedrijfsarts, advocaat) – daar gelden andere regels

Vuistregel: Als een externe partij toegang heeft tot namen, emailadressen, telefoonnummers, of andere klantgegevens → je hebt een DPA nodig.

Wat Moet Er In Een Verwerkersovereenkomst Staan?

De AVG vereist 9 verplichte elementen (Artikel 28 lid 3):

1. Onderwerp en duur

• Wat wordt er verwerkt? (bijv. “emailmarketing”)
• Hoe lang duurt het contract? (bijv. “zolang het abonnement actief is”)

2. Aard en doel van de verwerking

• Waarom wordt de data verwerkt? (bijv. “versturen van nieuwsbrieven aan klanten”)

3. Type persoonsgegevens

• Welke data precies? (bijv. “naam, emailadres, voorkeuren”)

4. Categorieën van betrokkenen

• Van wie is de data? (bijv. “klanten, prospects”)

5. Rechten en verplichtingen van de verwerkingsverantwoordelijke

• Wat mag jij van de verwerker verwagen?
• Hoe heb je controle?

6. Instructies volgen

• De verwerker mag alleen doen wat jij opdraagt
• Geen eigen doeleinden toevoegen

7. Vertrouwelijkheid

• Medewerkers van de verwerker moeten geheimhouding respecteren

8. Beveiligingsmaatregelen

• Hoe wordt de data beveiligd? (encryptie, toegangscontrole, etc.)

9. Sub-verwerkers

• Mag de verwerker andere partijen inschakelen?
• Zo ja, onder welke voorwaarden?

Bonus-elementen (gebruikelijk maar niet verplicht):

• Datalek-meldingsprotocol (binnen 72 uur)
• Ondersteuning bij privacy-verzoeken
• Wat gebeurt er na beëindiging? (data verwijderen of retourneren)
• Waar wordt de data opgeslagen? (EU, VS, andere)
• Audits en inspecties

Hoe Regel Je Een Verwerkersovereenkomst?

Stap 1: Maak een lijst van alle verwerkers (30 min)

Inventariseer alle diensten die je gebruikt:

Categorie 1: IT & Cloud

• Email (Gmail, Outlook)
• Cloud storage (Dropbox, Drive)
• Hosting (Combell, One.com)

Categorie 2: Marketing

• Email marketing (Mailchimp, …)
• CRM (HubSpot, Salesforce)
• Analytics (Google Analytics)

Categorie 3: Financieel

• Boekhouding (Exact, Yuki)
• Betaling (Mollie, Stripe)

Categorie 4: Operationeel

• Klantenservice (Zendesk)
• Reserveringen (OpenTable)
• Webshop (Shopify)

Categorie 5: Extern

• IT-support
• Boekhouder
• Andere consultants

Download template: Inventarisatielijst verwerkers [link naar lead magnet]

Stap 2: Check of je al DPA’s hebt (10 min)

Veel grote leveranciers bieden gratis DPA’s aan:

✅ Deze hebben standaard DPA’s:

• Google Workspace → Google Cloud Data Processing Addendum
• Microsoft 365 → Microsoft DPA
• Mailchimp → Mailchimp DPA
• HubSpot → HubSpot DPA
• Stripe → Stripe DPA
• Mollie → Mollie DPA
• Dropbox → Dropbox DPA

Hoe werkt het?

1. Ga naar de DPA-pagina van de leverancier
2. Accepteer de voorwaarden (soms digitaal, soms download + onderteken)
3. Bewaar een kopie in je administratie

Let op: Bij veel tools accepteer je de DPA automatisch door hun service te gebruiken. Maar je moet dit wel documenteren.

Stap 3: Vraag DPA’s op bij kleinere leveranciers (20 min)

Voor leveranciers zonder publieke DPA:

Email template:

Onderwerp: Data Processing Agreement (AVG/GDPR)

Goedendag,

Wij gebruiken jullie dienst [naam dienst] en verwerken daarbij 
persoonsgegevens. Volgens de AVG hebben wij een 
verwerkersovereenkomst (Data Processing Agreement) nodig.

Hebben jullie een standaard DPA beschikbaar? Zo ja, kunnen jullie 
deze toesturen?

Met vriendelijke groet,
[Jouw naam]
[Bedrijf]

Verwacht antwoord:

• “Ja, hier is onze DPA” (PDF ontvangen → ondertekenen en bewaren)
• “Ja, deze staat op onze website” (link volgen → accepteren)
• “Nee, we hebben geen DPA” (🚩 red flag – overweeg andere leverancier)

Stap 4: Documenteer alles (15 min)

Maak een DPA-overzicht in Excel of Google Sheets:

Leverancier	Dienst	DPA Aanwezig?	Datum Ondertekend	Locatie Bestand
Google	Gmail/Drive	✅ Ja	15/11/2024	/admin/dpa/google-dpa.pdf
Mailchimp	Email marketing	✅ Ja	20/11/2024	Online geaccepteerd
Combell	Website hosting	✅ Ja	01/12/2024	/admin/dpa/combell-dpa.pdf

Bewaar dit document in je AVG-register.

Stap 5: Update je AVG-register (10 min)

Voeg elke verwerker toe aan je register van verwerkingsactiviteiten:

Voorbeeld:

• Verwerkingsactiviteit: Email marketing
• Doel: Nieuwsbrieven versturen naar klanten
• Verwerker: Mailchimp (The Rocket Science Group, VS)
• Persoonsgegevens: Naam, emailadres, klikgedrag
• DPA aanwezig: ✅ Ja (geaccepteerd 20/11/2024)

Red Flags: Wanneer GEEN DPA Afsluiten

🚩 Red Flag 1: Leverancier weigert DPA te verstrekken

Probleem: Dit betekent dat ze niet AVG-compliant zijn.

Actie: Zoek een alternatief. Je kunt niet zakendoen met niet-conforme partijen.

🚩 Red Flag 2: DPA bevat geen beveiligingsmaatregelen

Probleem: Artikel 32 AVG vereist passende technische maatregelen.

Actie: Vraag om aanvulling of zoek een betere leverancier.

🚩 Red Flag 3: Leverancier mag data delen met “partners” zonder jouw toestemming

Probleem: De verwerker mag alleen sub-verwerkers inschakelen met jouw akkoord.

Actie: Onderhandel of weiger.

🚩 Red Flag 4: Data wordt opgeslagen buiten EU zonder adequate garanties

Probleem: Third-country transfers vereisen extra waarborgen (Standard Contractual Clauses, Adequacy Decision, etc.)

Actie: Check of leverancier valt onder EU-US Data Privacy Framework of SCCs gebruikt.

Gratis Verwerkersovereenkomst Template

Ik heb een kant-en-klare Nederlandse verwerkersovereenkomst gemaakt die je kunt gebruiken voor kleinere leveranciers (IT-support, lokale software, freelancers).

Wat zit erin:

• Alle 9 verplichte AVG-elementen
• Datalek-meldingsprotocol
• Sub-verwerkers clausule
• Beëindigingsprotocol
• Belgisch recht

Voor wie:

• IT-support bedrijven
• Lokale software-leveranciers
• Freelancers met toegang tot klantdata
• Boekhouders, administratiekantoren

Niet geschikt voor:

• Grote internationale platforms (die hebben eigen DPA’s)
• Complexe situaties (juridisch advies nodig)

Veelvoorkomende Fouten bij DPA’s

Fout 1: Vergeten DPA’s aan te vragen

Probleem: Je gebruikt tools al maanden/jaren zonder DPA.

Oplossing: Maak vandaag de inventarisatie en regel het alsnog. Beter laat dan nooit.

Fout 2: DPA wel aangevraagd maar niet ondertekend/bewaard

Probleem: Bij GBA-inspectie kun je niet aantonen dat je een DPA hebt.

Oplossing: Bewaar alle DPA’s centraal (Google Drive folder, fysieke map).

Fout 3: Geen DPA bij IT-support

Probleem: Veel bedrijven vergeten dat hun IT-support toegang heeft tot alle systemen en dus tot persoonsgegevens.

Oplossing: Vraag altijd een DPA bij externe IT-support.

Fout 4: Verouderde DPA’s

Probleem: Je sloot een DPA 5 jaar geleden, maar de dienst is drastisch veranderd (andere sub-verwerkers, andere datalocaties).

Oplossing: Review je DPA’s jaarlijks. Vraag updates bij significante wijzigingen.

Fout 5: Geen DPA bij “kleine” leveranciers

Probleem: “Het is maar een klein bedrijfje, dat hoeft niet.”

Oplossing: De AVG maakt geen onderscheid. Klein of groot, je hebt een DPA nodig.

Checklist: Zijn Je DPA’s Op Orde?

• [ ] Ik heb een lijst van alle externe diensten die persoonsgegevens verwerken
• [ ] Ik heb met elke dienst een DPA (ondertekend of online geaccepteerd)
• [ ] Ik bewaar alle DPA’s centraal en georganiseerd
• [ ] Mijn DPA-overzicht staat in mijn AVG-register
• [ ] Ik review mijn DPA’s minstens 1x per jaar
• [ ] Bij nieuwe tools check ik direct of er een DPA nodig is
• [ ] Ik weet wat te doen bij een datalek van een verwerker
• [ ] Mijn team weet dat ze geen nieuwe tools mogen gebruiken zonder DPA

Score:

• 7-8 vinkjes: ✅ Perfect!
• 5-6 vinkjes: ⚠️ Bijna goed
• 0-4 vinkjes: ❌ Prioriteit! Begin vandaag

Specifieke Situaties: DPA’s in de Praktijk

Situatie 1: Je IT-support heeft toegang tot alles

Vraag: Welke afspraken moet ik maken?

Antwoord:

• Standaard DPA met vertrouwelijkheidsbeding
• Toegangscontrole: alleen indien nodig (niet standaard)
• Datalek-meldingsprotocol: binnen 24 uur
• Na beëindiging: alle data en kopieën verwijderen

Template: IT-Support DPA [link naar lead magnet]

Situatie 2: Je boekhouder verwerkt personeelsgegevens

Vraag: Is dit een verwerker of medeverwerkingsverantwoordelijke?

Antwoord: In principe is een boekhouder een verwerker (hij voert taken uit in jouw opdracht). Je hebt dus een DPA nodig.

Let op: Als de boekhouder ook eigen doeleinden heeft (bijv. wettelijke meldingen aan de overheid), kan er sprake zijn van medeverwerkingsverantwoordelijkheid. Juridisch advies is hier verstandig.

Situatie 3: Je gebruikt Google Analytics

Vraag: Heb ik een DPA met Google nodig?

Antwoord: Ja. Google biedt gratis een DPA via Google Analytics settings:

1. Ga naar Admin → Account Settings
2. Klik “Data Processing Amendment”
3. Accepteer de voorwaarden

Bonus: Zet IP-anonimisatie aan voor extra privacy.

Situatie 4: Je werkt met freelancers

Vraag: Heb ik een DPA nodig met freelancers?

Antwoord: Alleen als de freelancer toegang heeft tot persoonsgegevens:

• Grafisch ontwerper die klantlogo’s maakt → GEEN DPA (geen persoonsgegevens)
• Copywriter die klantverhalen schrijft met echte namen → WEL DPA
• Webdeveloper met toegang tot je database → WEL DPA

Hulp Nodig met Verwerkersovereenkomsten?

DPA’s regelen hoeft niet moeilijk te zijn, maar het vraagt wel wat tijd. Als je hulp nodig hebt bij het inventariseren van je verwerkers, het opstellen van DPA’s, of het opzetten van een compleet AVG-register, help ik je graag.

Als DPO bij een Belgische politieke partij en EADPP-gecertificeerd consultant heb ik tientallen bedrijven geholpen met hun DPA-administratie.

Wat ik kan doen:

• ✅ Inventarisatie van al je verwerkers (welke DPA’s heb je nodig?)
• ✅ DPA’s opvragen en documenteren
• ✅ Custom DPA’s opstellen voor specifieke situaties
• ✅ AVG-register opzetten inclusief verwerkers
• ✅ Jaarlijkse review en updates

Interesse?

• Boek een gratis 30-minuten consult
• Test je website met de gratis GDPR Scan

---

Veelgestelde Vragen

Q: Moet ik een DPA met Google hebben als ik alleen Gmail gebruik (geen zakelijk account)? A: Als je Gmail gebruikt voor zakelijke communicatie met klantgegevens, technisch gezien ja. Maar veel kleine bedrijven gebruiken Google Workspace (zakelijk) voor betere compliance.

Q: Wat als mijn leverancier failliet gaat? A: Zorg dat je altijd een kopie hebt van je data (backups). DPA’s bevatten meestal een clausule over data-retournering bij beëindiging.

Q: Hoelang moet ik een DPA bewaren na beëindiging van het contract? A: Minimaal zo lang je verplicht bent om andere contractuele documenten te bewaren (7 jaar voor commerciële transacties in België).

Q: Kan ik één DPA gebruiken voor meerdere diensten van dezelfde leverancier? A: Ja, vaak is er één “master DPA” die alle diensten dekt (bijv. Google Workspace DPA dekt Gmail, Drive, Calendar, etc.).

Q: Moet ik een advocaat inhuren om een DPA te checken? A: Voor standaard DPA’s van grote platforms (Google, Microsoft): meestal niet nodig. Voor custom DPA’s met grote financiële impact: wel verstandig.