Met wie heb ik een verwerkersovereenkomst nodig?

Met elke externe partij die namens jou persoonsgegevens verwerkt. Veelvoorkomende voorbeelden: je boekhouder, e-mailmarketingtool (Mailchimp, ActiveCampaign), cloudopslag (Google Workspace, Microsoft 365), salarisverwerker, websitehoster, en CRM-systeem.

Wat als mijn verwerker al een standaard DPA heeft?

Veel grote partijen zoals Google, Microsoft en Mailchimp bieden standaard verwerkersovereenkomsten aan die je online kunt accepteren. Controleer of hun DPA voldoet aan de GDPR-vereisten en bewaar een kopie.

Kan ik dezelfde verwerkersovereenkomst gebruiken voor al mijn verwerkers?

De basisstructuur is hetzelfde, maar je moet per verwerker de specifieke details invullen: welke gegevens worden verwerkt, voor welk doel, en welke beveiligingsmaatregelen er gelden.

Wat als mijn verwerker weigert een DPA te tekenen?

Dan mag je die partij niet inschakelen voor het verwerken van persoonsgegevens. Zoek een alternatieve verwerker die wel bereid is een verwerkersovereenkomst te tekenen.

Verwerkersovereenkomst Sjabloon - Gratis GDPR DPA Template

Een verwerkersovereenkomst is verplicht met elke partij die namens jou persoonsgegevens verwerkt. Gebruik dit sjabloon als basis, pas het aan voor je situatie, en sluit het af met je verwerkers.

Wanneer heb je een verwerkersovereenkomst nodig?

Zodra je persoonsgegevens laat verwerken door een externe partij, ben je verplicht om een verwerkersovereenkomst (ook wel Data Processing Agreement of DPA) af te sluiten. Dit is geen optie, het is een wettelijke eis uit Artikel 28 van de GDPR.

Veel ondernemers denken dat dit alleen geldt voor grote bedrijven of complexe IT-systemen. Maar als je een boekhouder hebt die toegang heeft tot je klantgegevens, of als je Mailchimp gebruikt voor je nieuwsbrief, heb je al een verwerkersovereenkomst nodig.

Veelvoorkomende verwerkers voor MKB

Boekhouder / accountant - heeft toegang tot klant- en personeelsgegevens
E-mailmarketing (Mailchimp, ActiveCampaign, Sendinblue) - bewaart e-mailadressen en gedragsdata
Cloudopslag (Google Workspace, Microsoft 365, Dropbox) - slaat bestanden op die persoonsgegevens kunnen bevatten
Websitehoster (Combell, Antagonist, Cloudflare) - verwerkt IP-adressen en soms formuliergegevens
CRM-systeem (HubSpot, Salesforce, Teamleader) - bevat klantgegevens
Salarisverwerker / sociaal secretariaat - verwerkt personeelsgegevens
Boekingsplatform (Booking.com, eigen boekingssysteem) - klantgegevens en betalingsgegevens

Het sjabloon

Onderstaand sjabloon dekt de minimale vereisten van Artikel 28 GDPR. Pas het aan met je eigen bedrijfsgegevens en de specifieke details van de verwerking.

Verwerkersovereenkomst - basissjabloon

VERWERKERSOVEREENKOMST

Tussen:
[Naam organisatie], gevestigd te [adres], hierna "Verwerkingsverantwoordelijke"

En:
[Naam verwerker], gevestigd te [adres], hierna "Verwerker"

1. ONDERWERP EN DUUR
Deze overeenkomst regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke. De overeenkomst treedt in werking op [datum] en geldt voor de duur van de samenwerking.

2. AARD EN DOEL VAN DE VERWERKING
De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van: [omschrijf het doel, bijv. "het voeren van de boekhouding", "het versturen van nieuwsbrieven", "het hosten van de website"].

3. TYPE PERSOONSGEGEVENS
De volgende categorieen persoonsgegevens worden verwerkt: [bijv. naam, e-mailadres, adres, telefoonnummer, betalingsgegevens].

4. CATEGORIEEN BETROKKENEN
De persoonsgegevens betreffen de volgende categorieen personen: [bijv. klanten, medewerkers, websitebezoekers, leveranciers].

5. VERPLICHTINGEN VAN DE VERWERKER
De Verwerker:
a) Verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke
b) Waarborgt dat personen die toegang hebben tot de persoonsgegevens gebonden zijn aan geheimhouding
c) Treft passende technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen
d) Schakelt geen andere verwerker (sub-verwerker) in zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke
e) Verleent bijstand bij het vervullen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering)
f) Informeert de Verwerkingsverantwoordelijke onverwijld (binnen 24 uur) over een datalek
g) Verwijdert of retourneert alle persoonsgegevens na afloop van de dienstverlening, tenzij opslag wettelijk verplicht is
h) Stelt alle informatie beschikbaar die nodig is om naleving aan te tonen en werkt mee aan audits

6. SUB-VERWERKERS
De Verwerker maakt gebruik van de volgende sub-verwerkers: [lijst van sub-verwerkers met naam, locatie en doel]. Wijzigingen in sub-verwerkers worden vooraf schriftelijk gemeld aan de Verwerkingsverantwoordelijke.

7. DOORGIFTE BUITEN DE EER
[Indien van toepassing:] De Verwerker geeft persoonsgegevens door aan partijen buiten de Europese Economische Ruimte. Hierbij worden passende waarborgen getroffen conform [Standard Contractual Clauses / adequaatheidsbesluit / ander mechanisme].
[Indien niet van toepassing:] De Verwerker verwerkt alle persoonsgegevens uitsluitend binnen de Europese Economische Ruimte.

8. BEVEILIGINGSMAATREGELEN
De Verwerker treft minimaal de volgende beveiligingsmaatregelen:
- Versleuteling van gegevens tijdens opslag en transport
- Toegangscontrole en authenticatie (2FA)
- Regelmatige back-ups
- Logging van toegang tot persoonsgegevens
- [Aanvullen met specifieke maatregelen]

9. DUUR EN BEEINDIGING
Deze overeenkomst geldt voor de duur van de onderliggende dienstverlening. Bij beeindiging verwijdert de Verwerker alle persoonsgegevens binnen [aantal] dagen, tenzij wettelijke bewaarplichten anders voorschrijven.

Getekend te [plaats] op [datum]:

Verwerkingsverantwoordelijke: ________________________
Naam:
Functie:

Verwerker: ________________________
Naam:
Functie:

Hoe gebruik je dit sjabloon?

Vul je eigen gegevens in en die van de verwerker
Wees specifiek over het doel, het type gegevens en de categorieen betrokkenen - “gegevensverwerking” is te vaag
Inventariseer sub-verwerkers - vraag je verwerker welke derde partijen zij inschakelen
Controleer doorgifte - verwerkt je verwerker gegevens buiten de EU? Dan zijn extra waarborgen nodig
Laat beide partijen tekenen en bewaar een kopie

Verwerkers die al een standaard DPA hebben

Veel grote platforms bieden hun eigen verwerkersovereenkomst aan. Je hoeft dan niet dit sjabloon te gebruiken, maar controleer of hun DPA de GDPR-vereisten dekt:

Google Workspace - DPA beschikbaar via Admin Console
Microsoft 365 - DPA onderdeel van de servicevoorwaarden
Mailchimp - DPA beschikbaar op hun website
HubSpot - DPA beschikbaar via account settings
Stripe - DPA onderdeel van de servicevoorwaarden
AWS / Azure / Google Cloud - DPA’s beschikbaar per dienst

Bewaar altijd een kopie van de getekende of geaccepteerde DPA.

Veelgemaakte fouten

Geen DPA hebben met je boekhouder of sociaal secretariaat - dit zijn verwerkers
Een generiek sjabloon gebruiken zonder het aan te passen aan de specifieke verwerking
Sub-verwerkers vergeten - als je verwerker Zendesk gebruikt voor support, is Zendesk een sub-verwerker
Doorgifte buiten de EU vergeten - veel clouddiensten verwerken data in de VS
De DPA niet bijwerken wanneer de verwerking verandert

auto_awesome Weet je met welke verwerkers je werkt?

GDPRWise scant je website en detecteert automatisch welke derde partijen toegang hebben tot de persoonsgegevens die je verwerkt. Zo weet je met wie je een verwerkersovereenkomst nodig hebt.

Gratis scan starten

Sjabloon: Verwerkersovereenkomst (DPA)