Skip to content

DPA-reviewritme: deadlines die u niet mag missen

Image of Budi Voogt
Budi Voogt 23 mei 2026

Een verwerkersovereenkomst (DPA) is geen document dat u ondertekent en daarna vergeet, al vermoed ik dat de meeste wel zo worden behandeld. U onderhandelt over de voorwaarden, u ondertekent, u bergt het document op en iedereen gaat verder met het gevoel dat de compliance op orde is. Het probleem is dat een DPA meestal periodieke reviews verplicht stelt, u auditrechten geeft met eigen termijnen, en uw compliance koppelt aan doorgiftemechanismen die kunnen veranderen terwijl u niet oplet. De overeenkomst blijft alleen geldig als iemand de kalender bijhoudt. In mijn ervaring wordt die persoon zelden aangewezen, en wordt die kalender zelden bijgehouden.

Dit is praktische begeleiding, geen juridisch advies.

Aan het einde van deze gids weet u:

  • Welke terugkerende datums een typische DPA werkelijk bevat.
  • Waarom deze deadlines zelfs bij goed geleide teams tussen wal en schip vallen.
  • Hoe u een reviewritme eenmalig opzet en daarna zelfstandig laat lopen.
  • Hoe u DPA-clausules omzet in een werkend herinneringsschema.

De datums die een DPA werkelijk bevat

Als u een DPA leest met specifiek oog voor deadlines, in plaats van voor aansprakelijkheid en vrijwaringsbepalingen, komen er verrassend veel naar boven. Dit zijn de datums die ik het vaakst zie:

  • Periodieke securityreviews. Veel DPA's verplichten u om de technische en organisatorische maatregelen van de verwerker op een vaste cyclus te beoordelen, vaak jaarlijks. Het leest als standaardtekst, maar het is een verplichting, geen suggestie, en 'we zijn er nooit aan toegekomen' is geen prettig antwoord tijdens een audit.
  • Wijzigingsvensters voor subverwerkers. Wanneer een verwerker een nieuwe subverwerker voorstelt, hebt u meestal een vaste termijn om bezwaar te maken. Mist u die termijn, dan hebt u de wijziging standaard geaccepteerd.
  • Vensters voor auditrechten. Uw recht om te auditen of bewijs op te vragen gaat vaak gepaard met kennisgevingstermijnen en frequentielimieten. Het is veel beter om die te kennen voordat u het recht moet uitoefenen, niet midden in een incident.
  • Herbeoordeling van doorgiftemechanismen. Als de overeenkomst steunt op Standard Contractual Clauses, kunnen wijzigingen in het juridische kader vereisen dat u opnieuw beoordeelt of het mechanisme uw gegevensstromen nog steeds dekt. Het kader beweegt, uw contract niet, en u moet het gat opmerken.
  • Termijnen voor beëindiging en verwijdering. Wanneer de relatie eindigt, moet verwijdering of teruggave van gegevens meestal binnen een bepaalde periode plaatsvinden, met certificering op verzoek. Juist deze verplichting wordt vaak vergeten omdat ieders aandacht al naar de vervangende leverancier is verschoven.

Naast elkaar gezet wordt het patroon duidelijker:

Type deadlineTypische triggerWat u moet doen
SecurityreviewJaarlijkse cyclusGedocumenteerde beoordeling van maatregelen
SubverwerkersvensterKennisgeving van leverancierEen besluit voordat het venster sluit
AuditrechtUw initiatiefNaleving van kennisgevings- en frequentielimieten
Herbeoordeling van doorgifteExterne juridische wijzigingHerbeoordeling van het doorgiftemechanisme
Verwijdering / teruggaveEinde van de relatieVerwijdering of teruggave binnen de vastgestelde periode

Rustig bureau met een kalender van DPA-reviewdatums

Waarom dit misgaat

Geen van deze datums kondigt zichzelf aan, en dat is de kern van het probleem. Een review die 'jaarlijks verschuldigd' is, heeft geen trigger in iemands agenda. Een doorgiftekader dat verandert, mailt uw juridische team niet om te melden dat uw SCC's opnieuw bekeken moeten worden. Een kennisgeving over een subverwerker belandt tussen honderd andere berichten in een inbox en leest als marketing.

U zult dit patroon herkennen. De verplichtingen zijn echt, en de gevolgen ook: gegevens die onder voorwaarden blijven stromen die u nooit hebt gevalideerd, een auditbevinding die u niet kunt wegredeneren, een vraag van een toezichthouder waar u geen helder antwoord op hebt. Wat meestal ontbreekt, is geen wil of competentie. Het is gewoon een herinnering, op het juiste moment, aan de juiste eigenaar. Het werk is klein wanneer het gepland is en enorm wanneer het laat wordt ontdekt.

Eerlijk gezegd is dit een bekend faalpatroon dat veel verder gaat dan privacy. Dezelfde dynamiek veroorzaakt veel van de risico's van contractmanagement in het algemeen, waarbij de kosten niet in de clausule zelf zitten, maar in de datum die eraan gekoppeld is en die niemand bewaakte. Het komt ook stilletjes terug in kosten van SaaS-contractmanagement, waar gemiste reviewvensters veranderen in automatische verlengingen en verplichtingen die u had heronderhandeld als u ze had zien aankomen.

Bouw het ritme eenmalig op

De oplossing is saaier dan het probleem, wat meestal zo gaat bij goede compliancehygiëne. Haal de datums uit elke DPA zodra u deze ondertekent en zet ze in een schema met duidelijke eigenaren: de jaarlijkse securityreview, het volgende auditvenster, de controle van het doorgiftemechanisme en een vaste bewaking voor subverwerkersmeldingen. Doe dit eenmalig per overeenkomst, en het ritme loopt daarna vanzelf.

De kunst is om die datums naast de overeenkomst te houden waar ze uit kwamen, doorzoekbaar, met een eigenaar en gemonitord, in plaats van ze te kopiëren naar een spreadsheet die binnen een kwartaal uit sync raakt. Een goede contractrepository houdt het document en de verplichtingen bij elkaar, zodat u bij een herinnering met één klik bij de clausule bent die de trigger veroorzaakte. Die continuïteit over uw volledige leveranciersportfolio is precies waarvoor beheer van verwerkersovereenkomsten is gebouwd, en het past binnen onze bredere AVG-compliancesoftware voor teams die het volledige verplichtingenoverzicht op één plek willen.

Wat ik hier echt bevredigend aan vind, is dat het ritme dubbel werk doet. Zodra uw DPA-deadlines in een systeem staan, geeft contracttracking u één overzicht van wat in alle overeenkomsten aankomt, en maakt rapportage van 'hebben we onze DPA's onder controle?' geen nerveuze gok meer, maar een cijfer dat u aan een bestuur of klant kunt laten zien. Als u de persoon bent die dit echt beheert, laat de usecase voor compliance officers zien hoe de dagelijkse praktijk samenkomt.

Een opmerking over vertrouwen, omdat DPA's over het beschermen van gegevens gaan en het vreemd zou zijn om ze slecht te behandelen in naam van beheer. Contracko wordt in de EU gehost, uw contracten zijn versleuteld, toegang is rolgebaseerd, en we trainen nooit AI op uw contracten. U kunt de details lezen op onze beveiligingspagina.

Twee manieren om te beginnen

U hoeft geen volledig programma op te zetten om voordeel te merken. Er zijn twee lichte instappunten waar ik u eerst naartoe zou wijzen.

Om de clausules van één DPA om te zetten in een herinneringsschema, leest de DPA-herinneringstool reviewdatums, subverwerkersvensters, auditrechten en doorgifteverplichtingen uit, en stelt vervolgens voor wanneer u op elk punt moet handelen. Het is de snelste manier om te zien wat één overeenkomst eigenlijk al die tijd van u vroeg. Onder de motorkap is diezelfde planningskracht wat onze functie voor vervalherinneringen naar elk contract brengt dat u beheert, niet alleen DPA's.

En als u een specifieke deadline, kennisgevingstermijn, venster voor datalekmelding of verwijderingsdatum na beëindiging moet bepalen, doet de DPA-calculator de datumrekening voor u, zodat u niet op uw vingers werkdagen hoeft te tellen op de ochtend dat een klok begint te lopen.

Volgende stappen

Kies één DPA, liefst voor een leverancier die u niet graag aan een toezichthouder zou moeten uitleggen, en zoek elke datum die erin staat. Zet die datums ergens neer met een eigenaar en een gekoppelde herinnering. Die ene oefening is vaak het moment waarop het abstracte idee van een 'reviewritme' iets concreets wordt dat u werkelijk over de rest van uw overeenkomsten wilt uitrollen.

Wanneer u klaar bent om dit systematisch te maken, is dat precies waarvoor we Contracko hebben gebouwd, met een gratis proefperiode zodat u het kunt testen op uw echte overeenkomsten in plaats van op een demo. Ik hoor graag welke van deze deadlines u eerder geraakt heeft, want de verhalen zijn altijd specifiek en altijd leerzaam. Neem gerust contact op als u vragen hebt, ik beantwoord ieder bericht zelf.

Ga aan de slag met Contracko

Verban het gedoe rondom contract- en abonnementsbeheer. Contracko helpt je georganiseerd, op tijd en in controle te blijven. Begin vandaag nog met vereenvoudigen.

ennldefresitpt