# Verwerkersovereenkomst beheren onder de AVG

Source: https://contracko.com/nl/blog/verwerkersovereenkomst-beheren

[Blog](https://contracko.com/nl/blog)

[Verwerkersovereenkomst beheren onder de AVG](https://contracko.com/nl/blog/verwerkersovereenkomst-beheren)

# Verwerkersovereenkomst beheren onder de AVG

Budi Voogt 25 mei 2026

Kopieer voor LLM

Je herkent dit vast. Je sluit een nieuwe leverancier aan, iemand stuurt een verwerkersovereenkomst over de mail, je leest hem half door, tekent, en zet het bestand in een map die je daarna nooit meer opent. Op dat moment voelt het alsof je klaar bent. En dat is precies waar het misgaat, want het tekenen is het makkelijke deel. Het echte werk begint daarna: die overeenkomst actueel houden terwijl subverwerkers wijzigen, reviews verschuiven en de juridische basis voor doorgifte onder je voeten verschuift.

Ik merk vaak dat teams hun verwerkersovereenkomsten behandelen als een afvinkmoment in plaats van als een levend dossier. Dat is begrijpelijk, want niemand heeft het in zijn agenda staan om over veertien maanden de beveiligingsbijlage van een hostingpartij opnieuw te beoordelen. In deze gids loop ik met je door wat een verwerkersovereenkomst precies is, wat je per overeenkomst moet bijhouden, waarom ze stilletjes verouderen, en hoe je er één overzichtelijk geheel van maakt.

> Dit is praktische uitleg, geen juridisch advies. Leg je eigen situatie voor aan een gekwalificeerde privacyprofessional.

Na het lezen van deze gids weet je:

- Wat een verwerkersovereenkomst (DPA) is en wanneer de AVG er één verplicht stelt.
- Welke gegevens je per overeenkomst moet bijhouden om aantoonbaar conform te blijven.
- Waarom verwerkersovereenkomsten in de praktijk verouderen zonder dat iemand het doorheeft.
- Hoe je één doorzoekbare bron van waarheid bouwt en de belangrijke data op een schema zet.

## Wat een verwerkersovereenkomst is

Een verwerkersovereenkomst, vaak afgekort als DPA naar het Engelse data processing agreement, legt vast hoe een verwerker (de leverancier) persoonsgegevens verwerkt namens jou, de verwerkingsverantwoordelijke. Denk aan je CRM, je mailtool, je salarispakket of je hostingpartij. Zodra zo'n partij persoonsgegevens voor je aanraakt, schrijft de AVG (artikel 28) voor dat je dit schriftelijk regelt.

De reden is eenvoudig. Jij bepaalt het doel en de middelen van de verwerking, dus jij blijft verantwoordelijk, ook als een ander de gegevens feitelijk beheert. Zonder overeenkomst lopen beide kanten risico: jij kunt niet aantonen dat je leverancier aan duidelijke afspraken gebonden is, en de leverancier weet niet waar zijn verplichtingen ophouden. De overeenkomst legt onder meer vast welke gegevens worden verwerkt, met welk doel, welke beveiligingsmaatregelen gelden, en wat er gebeurt als de samenwerking eindigt.

Tot zover de theorie. In de praktijk is een getekende overeenkomst pas het beginpunt, en daar wil ik de meeste aandacht aan besteden.

## Wat je per DPA moet bijhouden

De meeste problemen ontstaan niet bij ondertekening, maar maanden later. Een verwerkersovereenkomst zit namelijk vol verplichtingen die pas in de toekomst spelen, en die zich niet vanzelf melden. Ik raad aan om voor elke overeenkomst dezelfde set gegevens vast te leggen, zodat je portfolio onderling vergelijkbaar blijft.

| Wat je bijhoudt | Waarom het ertoe doet |
| --- | --- |
| De leverancier en het hoofdcontract | Zo koppel je de DPA aan de dienst waarop hij betrekking heeft en raakt hij niet los van zijn context. |
| Reviewdatum | Wanneer je de beveiligingsmaatregelen opnieuw moet beoordelen, voordat ze stilletjes achterhaald raken. |
| Subverwerkerslijst en bezwaarvenster | Wie is toegestaan, en hoeveel dagen heb je om bezwaar te maken tegen een nieuwe toevoeging. |
| Auditrechten | Waar je recht op hebt, en met welke frequentie je dat recht kunt uitoefenen. |
| Doorgiftemechanisme | Waarop doorgifte buiten de EER steunt (bijvoorbeeld standaardcontractbepalingen) en of dat je werkelijke gegevensstromen nog dekt. |
| Opzeg- en verwijdertermijnen | Wat er met de data gebeurt als de samenwerking eindigt, en binnen welke termijn. |

Het mooie aan deze velden is dat ze allemaal concreet en controleerbaar zijn. Je hoeft geen jurist te zijn om bij te houden dat een reviewdatum nadert of dat een bezwaarvenster bijna sluit. Je moet alleen zorgen dat de informatie ergens staat waar je hem terugvindt, en niet begraven ligt op pagina elf van een pdf.

## Waarom verwerkersovereenkomsten verlopen

Ik noem het verlopen, al staat er meestal geen einddatum op. Wat er gebeurt is subtieler: de overeenkomst blijft formeel geldig, maar weerspiegelt de werkelijkheid niet meer. Dat gebeurt op een paar voorspelbare manieren.

### Subverwerkers wijzigen

Bijna elke leverancier schakelt zelf weer andere partijen in, en die lijst verandert. Krijg je een melding dat er een subverwerker bijkomt en mis je het bezwaarvenster, dan heb je die partij stilzwijgend geaccepteerd. Soms is dat prima, maar je hebt dan wel een nieuwe partij toegelaten tot jouw gegevens zonder bewuste keuze.

### Reviews verschuiven

Een periodieke beoordeling van de beveiligingsmaatregelen klinkt vanzelfsprekend, tot je merkt dat niemand hem inplant. Het is precies het soort taak dat blijft liggen omdat hij van niemand persoonlijk is. Een jaar later weet je niet meer of de afspraken nog kloppen met hoe de leverancier vandaag werkt.

### De doorgiftebasis veroudert

De juridische grondslag voor doorgifte naar buiten de Europese Economische Ruimte is de afgelopen jaren herhaaldelijk veranderd. Een mechanisme dat ooit netjes geregeld was, kan inmiddels achterhaald zijn zonder dat er iets aan jouw kant gebeurde. Dit is een van de stillere risico's, omdat het volledig buiten je gezichtsveld plaatsvindt.

Als je dieper wilt kijken naar dit soort sluimerende verplichtingen, schreef ik eerder over de [verborgen risico's in contractbeheer](https://contracko.com/nl/blog/risicos-in-contractbeheer), waar veel van dezelfde dynamiek speelt.

## Bouw één bron van waarheid

De oplossing is minder ingewikkeld dan het probleem. De kern is dat elke verwerkersovereenkomst op één plek staat, doorzoekbaar, gekoppeld aan de juiste leverancier, met de belangrijkste data eruit gehaald in plaats van verstopt in een document. Als een toezichthouder of een klant vraagt om je DPA met partij X en daarbij wil zien dat hij actueel is, dan is het antwoord één zoekopdracht verwijderd in plaats van een halve middag zoeken.

Daar is [verwerkersovereenkomst-beheer](https://contracko.com/nl/oplossingen/verwerkersovereenkomst-beheer) van Contracko voor gemaakt. Je bewaart elke DPA naast het contract waarop hij betrekking heeft, met reviewdata, subverwerkersvoorwaarden en doorgifteverplichtingen in gestructureerde velden. Contracko draait op EU-infrastructuur, met versleuteling en toegang op basis van rollen, en de AI-aanbieders die de analyse uitvoeren trainen niet op jouw contracten. Voor een privacydossier vind ik dat geen detail maar een voorwaarde.

Wat me bevalt aan deze aanpak is dat het werk dat je toch al doet, namelijk de informatie uit een overeenkomst lezen, niet langer verloren gaat zodra je het bestand sluit. De AI-contractanalyse haalt de relevante velden eruit en zet ze in je repository, zodat het hele leveranciersbestand in één overzicht past. Hoe dat soort AI in de praktijk werkt, leg ik uit in mijn stuk over [legal AI](https://contracko.com/nl/blog/legal-ai).

## Zet de data op een schema

Een bron van waarheid helpt pas echt als die je vertelt wanneer je moet handelen. Alle verloopmomenten die ik hierboven noemde zijn in feite data: reviewdeadlines, bezwaarvensters voor subverwerkers, auditcycli, en hervalidatie van het doorgiftemechanisme. Elk daarvan hoort een herinnering te geven aan de juiste eigenaar, met genoeg voorlooptijd om er iets mee te doen.

Wil je dit op één enkele overeenkomst zien werken voordat je je hele portfolio aanpakt, dan is de [DPA-herinneringstool](https://contracko.com/nl/contract-herinneringen-tools/data-processing-agreement-reminder) een goed beginpunt. Je uploadt een verwerkersovereenkomst, de AI haalt de reviewdata, subverwerkersvensters en auditrechten eruit, en je krijgt een voorgesteld herinneringsschema terug. Over je hele leveranciersbestand is precies die discipline, elke datum bijgehouden en elke eigenaar op tijd herinnerd, wat een portfolio conform houdt in plaats van alleen getekend.

Het inrichten hiervan is geen groot project. Met de contractrepository, automatische data-extractie, herinneringen, rapportage en agenda-integratie staat de basis er snel, en je kunt het rustig uitproberen tijdens de gratis proefperiode. Voor het bredere plaatje rond [AVG-compliance](https://contracko.com/nl/oplossingen/avg-compliance-software) past DPA-beheer in dezelfde aanpak: zichtbaarheid en tijdige actie in plaats van een stapel getekende bestanden.

## Hoe dit per sector verschilt

Niet elk leveranciersbestand ziet er hetzelfde uit. Een zorgaanbieder verwerkt bijzondere persoonsgegevens en heeft daardoor scherpere afspraken en strakkere reviews nodig; ik schreef daar apart over in [contractbeheer voor zorgaanbieders](https://contracko.com/nl/blog/contractbeheer-voor-zorgaanbieders). Een snelgroeiend softwarebedrijf heeft dan weer veel meer leveranciers en dus veel meer subverwerkers om in de gaten te houden. De methode blijft hetzelfde, maar het volume en de gevoeligheid bepalen hoeveel structuur je echt nodig hebt.

Bij die afweging speelt ook de kostenkant mee. Het loont om vooraf te kijken wat een tool kost ten opzichte van het handwerk dat hij wegneemt, en daar gaf ik eerder een overzicht van in [SaaS-contractbeheer en kosten](https://contracko.com/nl/blog/saas-contractbeheer-kosten).

## Aan de slag

Als je vandaag één ding wilt doen, begin dan klein: pak de drie leveranciers die de gevoeligste gegevens verwerken, zoek hun verwerkersovereenkomst op, en noteer per stuk de reviewdatum, het subverwerkersbeleid en het doorgiftemechanisme. Je zult merken dat je voor minstens één ervan geen actueel antwoord hebt, en dat is precies de reden waarom dit werk de moeite waard is.

Daarna kun je het breder trekken via de [oplossingen van Contracko](https://contracko.com/nl/oplossingen) en de rest van je portfolio op dezelfde manier in kaart brengen. Ik help je er graag bij. Stuur me gerust een bericht als je vastloopt of wil sparren over hoe je dit voor jouw situatie inricht, ik lees en beantwoord die mails zelf.

## Ga aan de slag met Contracko

Verban het gedoe rondom contract- en abonnementsbeheer. Contracko helpt je georganiseerd, op tijd en in controle te blijven. Begin vandaag nog met vereenvoudigen.

[Probeer 7 dagen gratis](https://app.contracko.com/register)

Boek demo