Wanneer heb ik een verwerkersovereenkomst nodig?

Zodra je persoonsgegevens laat verwerken door een externe partij, bijvoorbeeld je boekhouder, e-mailmarketingtool of cloudopslagdienst.

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?

De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. De verwerker verwerkt gegevens uitsluitend in opdracht van de verantwoordelijke.

Wat is een verwerkersovereenkomst?

verified Laatst beoordeeld 1 maart 2026 · het GDPRWise juridisch team

Een verwerkersovereenkomst is verplicht wanneer je persoonsgegevens laat verwerken door een externe partij. Leer wat erin moet staan en download ons gratis sjabloon.

summarize Kernpunten

check_circle Een verwerkersovereenkomst is verplicht zodra je persoonsgegevens laat verwerken door een derde partij
check_circle Het contract moet minimaal 8 onderwerpen regelen, waaronder beveiligingsmaatregelen en sub-verwerkers
check_circle Zonder verwerkersovereenkomst riskeer je een boete tot €10 miljoen of 2% van je jaaromzet

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst (ook wel Data Processing Agreement of DPA) is een contract dat vereist is onder de GDPR (AVG) wanneer een organisatie persoonsgegevens laat verwerken door een andere partij. Dit contract regelt de verantwoordelijkheden en verplichtingen van beide partijen.

Wanneer heeft u een verwerkersovereenkomst nodig?

U heeft een verwerkersovereenkomst nodig wanneer u persoonsgegevens deelt met een externe partij die deze gegevens namens u verwerkt. Denk aan:

Uw boekhouder die toegang heeft tot personeelsgegevens
Een e-mailmarketingtool zoals Mailchimp of ActiveCampaign
Uw cloudopslagdienst (Google Workspace, Microsoft 365)
Een externe salarisverwerker

Wat moet erin staan?

De GDPR (Artikel 28) schrijft voor dat een verwerkersovereenkomst minimaal de volgende onderwerpen behandelt:

Het onderwerp en de duur van de verwerking
De aard en het doel van de verwerking
Het type persoonsgegevens en categorieën betrokkenen
Beveiligingsmaatregelen
Inschakeling van sub-verwerkers
Bijstand bij verzoeken van betrokkenen
Meldplicht bij datalekken
Verwijdering of teruggave van gegevens na afloop

Wat als u geen verwerkersovereenkomst heeft?

Zonder verwerkersovereenkomst overtreedt u de GDPR. De toezichthouder kan boetes opleggen tot €10 miljoen of 2% van uw jaaromzet, afhankelijk van welk bedrag hoger is.

GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.