Veiligheid en AVG beheer automatisering

Wat is een data processing agreement en wanneer heb je die nodig

Pieter van Dijk Pieter van Dijk
· · 5 min leestijd

Stel: je draait een bedrijf, je gebruikt een tool waar klantgegevens in staan — bijvoorbeeld een CRM-systeem, een e-mailmarketingplatform of een cloudopslagdienst. Alles loopt lekker, totdat iemand vraagt: “Heb je eigenlijk een DPA met die aanbieder?” En je denkt… een wat? Geen paniek. In dit artikel leggen we uit wat een data processing agreement precies is, wanneer je er écht een nodig hebt, en waarom het geen juridisch speeltje is maar een essentieel onderdeel van verantwoord werken met persoonsgegevens.

Inhoudsopgave
  1. Wat is een data processing agreement eigenlijk?
  2. Wanneer heb je een DPA nodig? De AVG-regels op een rij
  3. Wat staat er in een goede DPA?
  4. Wat als je geen DPA hebt?
  5. Hoe kom je aan een DPA?
  6. Conclusie: een DPA is geen formaliteit, maatregel

Wat is een data processing agreement eigenlijk?

Een data processing agreement — of DPA, in het Nederlands ook wel verwerkersovereenkomst genoemd — is een contract tussen twee partijen: de verwerkingsverantwoordelijke (jij, als bedrijf) en de verwerker (de partij die namens jou gegevens verwerkt). Denk aan een online winkel die gebruikmaakt van Mailchimp voor e-mailcampagnes. De winkel bepaalt waarom en welke klantgegevens worden verzameld.

Mailchimp verwerkt die gegevens alleen op instructie van de winkel. Die relatie moet geregeld worden in een DPA.

De DPA legt vast hoe de verwerker omgaat met persoonsgegevens: wat mag hij doen, wat niet, hoe wordt beveiliging gegarandeerd, en wat gebeurt er bij een datalek? Kortom: het is het juridische kader dat ervoor zorgt dat je klantgegevens niet zomaar worden gebruikt of gedeeld zonder jouw toestemming.

Wanneer heb je een DPA nodig? De AVG-regels op een rij

De Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels) schrijft voor dat je een DPA altijd moet afsluiten wanneer je een derde partij inschakelt om persoonsgegevens te verwerken namens jou.

Voorbeelden waar je een DPA nodig hebt

  • Je gebruikt een cloudprovider zoals Google Workspace, Microsoft 365 of Amazon Web Services om bestanden met klantgegevens op te slaan.
  • Je werkt met een payroll-dienst die loonadministratie voor je doet en toegang heeft tot medewerkersgegevens.
  • Je hebt een externe marketingbureau dat toegang heeft tot je klantbestand.
  • Je gebruikt een helpdesksoftware zoals Zendesk of Freshdesk waar klachten met persoonlijke informatie binnenkomen.
  • Je laat een IT-bedrijf je servers beheren waar persoonsgegevens op staan.

Dat klinkt simpel, maar het valt vaker voor dan je denkt. Elke keer als een externe partij toegang heeft tot persoonsgegevens of deze verwerkt in opdracht van jou, is een DPA verplicht. Niet optioneel. Niet “we doen het gewoon even zo.” Verplicht.

Wat staat er in een goede DPA?

Niet elke DPA is even sterk. Sommige zijn standaardtemplates die je met één klik accepteert, andere zijn op maat gemaakt. Maar een degelijke verwerkersovereenkomst bevat in ieder geval de volgende elementen:

Doel en duur van de verwerking

De DPA moet duidelijk beschrijven waarom de gegevens worden verwerkt en hoe lang de verwerker deze mag bewaren.

Type persoonsgegevens en categorieën betrokkenen

Geen ruime termen, maar concrete afspraken. Welke gegevens worden verwerkt? Namen en e-mailadressen? Medische gegevens? Financiële informatie?

Beveiligingsmaatregelen

En van wie zijn die gegevens — klanten, medewerkers, patiënten? Dit moet expliciet worden benoemd. De ververplicht zich tot passende technische en organisatorische maatregelen.

Subverwerkers

Denk aan encryptie, toegangscontrole, regelmatige back-ups en medewerkers die zijn getraind in privacybewust werken.

Rechten van betrokkenen

Soms schakelt de verwerker zelf weer een andere partij in — een zogenaamde subverwerker. De DPA moet regelen of dat mag, onder welke voorwaarden, en hoe jij als verantwoordelijke daarvan op de hoogte wordt gesteld. Als een klant vraagt om zijn gegevens te laten verwijderen of in te zien, moet de verwerker meewerken. De DPA beschrijft hoe dat proces verloopt.

Melding van datalekken

Bij een datalek moet de verwerker jou onverwijld informeren — binnen 48 uur is de gangbare standaard, zodat jij vervolgens binnen de wettelijke termijn van 72 uur de Autoriteit Persoonsgegevens kunt informeren. Wat gebeurt er met de gegevens als de samenwerking stopt? De DPA moet vastleggen dat de verwerker alle persoonsgegevens retourneert of vernietigt, en dat binnen een afgesproken termijn.

Gegevens retourneren of vernietigen

Wat als je geen DPA hebt?

Geen DPA? Dan loop je een serieus risico.

De AVG kent boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet — afhankelijk van welk bedrag het hoogst is. En dat is geen theoretisch scenario: in Nederland zijn al meerdere organisaties beboemd wegens schending van de AVG. Maar het gaat verder dan boetes. Zonder DPA heb je geen zekerheid over hoe je klantgegevens worden behandeld.

Je weet niet of je verwerker beveiligingstoepast, of hij je gegevens doorverkoopt, of wat er gebeurt bij een hack. In tijden van toenemende cyberdreigingen is dat een onnodig risico.

Bovendien vragen steeds meer klanten, opdrachtgevers en zorgverzekeraars om een DPA. Vooral in B2B-relaties is het een standaardonderdeel van due diligence. Geen DPA?

Dan loop je soms gewoon een deal mis.

Hoe kom je aan een DPA?

Gelukkig hoef je niet vanaf scratch te beginnen. Veel grote techbedrijven bieden standaard DPA’s aan — denk aan Google, Microsoft, Salesforce of HubSpot.

Die kun je meestal downloaden via hun website of privacyportaal. Toch is het verstandig om die standaarddocumenten kritisch te bekijken.

Voldoen ze aan jouw specifieke situatie? Zijn de beveiligingsmaatregelen voldoende? Wordt er helder omgegaan met subverwerkers? Voor complexe situaties — bijvoorbeeld bij het gebruik van no-code tools van buitenlandse aanbieders — is het raadzaam om juridisch advies in te winnen.

Handige tools en platforms

Een gespecialiseerde privacyadvocaat of een DPO (Functionaris voor Gegevensbescherming) kan je helpen een DPA op te stellen die écht aansluit bij jouw behoeften.

Er bestaan ook platforms die je helpen bij het beheren van DPA’s. Contractify bijvoorbeeld biedt een gestroomlijnde workflow voor het opstellen, ondertekenen en beheren van verwerkersovereenkomsten. Wolters Kluwer heeft uitgebreide kennisbanken over AVG-compliance. En het DPO Centre biedt praktische gidsen en templates voor organisaties die aan de slag willen.

Conclusie: een DPA is geen formaliteit, maatregel

Een data processing agreement is geen juridisch papierwerk dat je even snel ondertekent en vergeten bent. Het is een fundamenteel onderdeel van verantwoord omgaan met persoonsgegevens.

Het beschermt jou, je klanten en je bedrijf. Dus de volgende keer dat je een nieuwe tool aanschaft of een externe partij inschakelt: vraag naar de DPA. Lees hem. Begrijp hem.

En zorg ervoor dat hij klopt. Want in een wereld waar data het nieuwe oolie is, is een goede DPA geen luxe — het is een must.

Lees ook
Hoe voldoet je no-code automatisering aan de AVG in Nederland Welke klantgegevens mag je automatisch verwerken en welke niet Hoe stel je toegangsbeheer in voor je no-code workflows in het MKB Wat gebeurt er met jouw data als een no-code platform stopt in 2026 Hoe maak je een verwerkingsregister voor je geautomatiseerde processen Datalekken voorkomen in een geautomatiseerde bedrijfsomgeving
Pieter van Dijk
Pieter van Dijk
Senior IT-consultant en software architect

Pieter is een ervaren IT-consultant met passie voor logische software oplossingen.

Meer over Veiligheid en AVG beheer automatisering

Bekijk alle 25 artikelen in deze categorie.

Naar categorie →
Lees volgende
Hoe voldoet je no-code automatisering aan de AVG in Nederland
Lees verder →