Skip to content

DPA opstellen: clausules, templates en checklist

Image of Budi Voogt
Budi Voogt 20 mei 2026

Vroeg of laat komt dat moment. Of u moet een Data Processing Agreement aan een partner uitgeven, of een leverancier schuift er een over tafel en wacht op uw handtekening. Ik heb aan beide kanten van die uitwisseling gezeten, en het werk komt telkens op hetzelfde neer: weten wat een goede DPA bevat, en herkennen waar de zwakke plekken zich meestal verbergen.

Een DPA is geen formaliteit die u tekent om het inkoopformulier groen te laten kleuren. Het is het document dat bepaalt hoe iemand anders omgaat met de persoonsgegevens van uw klanten en medewerkers, wat die partij belooft over het beveiligen daarvan, en welk verhaal u heeft wanneer er iets misgaat. Doet u het goed, dan beschermt het u stilletjes jarenlang. Doet u het verkeerd, dan ontdekt u dat op het slechtst mogelijke moment.

Deze gids loopt sectie voor sectie door de anatomie van een solide DPA, en geeft u daarna een checklist die u kunt gebruiken voordat u tekent of er een verstuurt.

Dit is praktische guidance, geen juridisch advies. Laat iedere overeenkomst beoordelen door een gekwalificeerde professional voordat u erop vertrouwt.

Aan het einde van deze gids kunt u:

  • Iedere sectie begrijpen die een DPA onder artikel 28 AVG moet bevatten
  • Weten wanneer Standard Contractual Clauses van toepassing worden
  • Rode vlaggen herkennen in het standaardtemplate van een leverancier
  • Een checklist voor ondertekening direct gebruiken

De anatomie van een DPA

Een DPA die is opgesteld voor artikel 28 AVG behandelt doorgaans de volgende onderwerpen. Ik vind het nuttig om iedere overeenkomst langs deze lijst te lezen, omdat de gaten u evenveel vertellen als de tekst zelf.

Reikwijdte en rollen

Wie is de verwerkingsverantwoordelijke en wie is de verwerker, plus het onderwerp en de duur van de verwerking, en de aard en het doel ervan. Dit klinkt basaal, en toch heb ik overeenkomsten gezien waarin de rollen door elkaar liepen of gewoon werden verondersteld. Als dit verkeerd staat, rust de rest van het document op los zand.

Categorieen gegevens en betrokkenen

Welke soorten persoonsgegevens worden verwerkt, en van wie: klanten, medewerkers, eindgebruikers. Specificiteit beschermt hier iedereen, omdat het begrenst wat de verwerker daadwerkelijk mag aanraken.

Verwerking op instructie

De verwerker handelt alleen op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke, en niet op eigen initiatief. Dit is de clausule die voorkomt dat uw gegevens stilletjes voor iets anders worden gebruikt.

Beveiligingsmaatregelen

De vereiste technische en organisatorische maatregelen: encryptie, toegangscontroles, veerkracht, periodieke tests. Het woord om op te letten is 'passend' als dat op zichzelf staat. Passende maatregelen zonder detail zijn een belofte om later te beslissen, wat in de praktijk vaak neerkomt op een belofte om weinig te doen. Goede beveiligingsclausules zijn specifiek, en zouden moeten aansluiten op het soort bescherming dat u van ieder serieus platform mag verwachten: de EU-hosting, encryptie en rolgebaseerde toegang die ook onder onze eigen beveiligingsaanpak liggen.

Vertrouwelijkheid

Iedereen met toegang tot de gegevens is verplicht deze vertrouwelijk te houden. Korte clausule, echte gevolgen.

Subverwerkers

Of subverwerkers uberhaupt zijn toegestaan, de verplichting om gelijkwaardige voorwaarden aan hen door te leggen, en uw recht om op de hoogte te worden gesteld van wijzigingen en bezwaar te maken. Persoonsgegevens blijven zelden nog bij een enkel bedrijf. Ze bewegen door een keten, en deze clausule is hoe u zicht houdt op die keten.

Bijstand

De verwerker helpt u te reageren op verzoeken rond rechten van betrokkenen en helpt u aan uw eigen verplichtingen rond beveiliging, datalekken en impact assessments te voldoen. Wanneer een klant zijn recht op verwijdering uitoefent, zult u blij zijn dat dit is vastgelegd.

Melding van datalekken

Een duidelijke, korte termijn waarbinnen de verwerker u moet informeren over een inbreuk in verband met persoonsgegevens. 'Zonder onredelijke vertraging' is de standaard die u wilt. Alles wat in weken wordt gemeten, is een probleem dat u erft.

Internationale doorgiften

Een geldig doorgiftemechanisme, zoals Standard Contractual Clauses, overal waar gegevens de EER verlaten, samen met de bijbehorende beoordelingen. Hieronder meer hierover, omdat dit het onderdeel is dat het vaakst ontbreekt.

Verwijdering of teruggave

Wat er met de gegevens gebeurt wanneer de relatie eindigt: verwijdering of teruggave, naar uw keuze, met certificering op verzoek. Open bewaartermijnen zijn een van de stillere risico's in een zwakke DPA.

Audits

Uw recht om te controleren dat de verwerker daadwerkelijk doet wat is afgesproken. Echte auditrechten, geen beleefd gebaar.

Bedrijfsjurist die een verwerkersovereenkomst annoteert

Standard Contractual Clauses: wanneer u ze nodig heeft

Als persoonsgegevens buiten de EER worden verwerkt, of door een subverwerker die zich daar bevindt, moet de DPA meestal SCC's opnemen en verwijzen naar een transfer impact assessment. Dit is een van de meest gemiste onderdelen die ik tegenkom.

De valkuil is subtiel. Een standaard-DPA van een leverancier gaat vaak uit van verwerking uitsluitend binnen de EU, omdat dat waar was toen het template voor het eerst werd geschreven, of omdat het simpelweg makkelijker was om het zo op te stellen. Daarna voegt de leverancier een supporttool uit de VS toe of een analytics-subverwerker, en de werkelijkheid klopt niet meer met het papierwerk. Niemand werkt de DPA bij, omdat niemand ernaar kijkt. De doorgifte gebeurt toch, ongedekt.

Kijk bij het beoordelen van een DPA dus verder dan de vraag of SCC's worden genoemd. Controleer of de gegevensstromen die het contract beschrijft daadwerkelijk overeenkomen met waar de verwerking plaatsvindt. In die mismatch zit de blootstelling.

Rode vlaggen bij het accepteren van een DPA van een leverancier

Wanneer een DPA van een leverancier op mijn bureau belandt, zijn dit de waarschuwingssignalen waar ik als eerste naar kijk:

  • Meldtermijnen voor datalekken die in weken worden gemeten in plaats van 'zonder onredelijke vertraging'
  • Algemene rechten om subverwerkers in te schakelen zonder kennisgeving of bezwaarmechanisme
  • Vage beveiligingstaal zonder specifieke maatregelen
  • Verwijderingsvoorwaarden die de verwerker toestaan gegevens onbeperkt te bewaren
  • Helemaal geen doorgiftemechanisme, ondanks verwerking die duidelijk de EER verlaat

Elk van deze punten is een gesprek waard voordat u tekent. Twee of meer, en u kijkt naar een template dat is geschreven om de leverancier te beschermen, niet u.

Een checklist voor ondertekening

Loop dit door voordat u tekent, of voordat u er een verstuurt. Ik houd een versie hiervan bij de hand wanneer er een DPA langs mijn bureau komt.

ControleBevestig dat
RollenVerwerkingsverantwoordelijke en verwerker correct zijn geidentificeerd
BeveiligingMaatregelen specifiek zijn en verder gaan dan 'passend'
SubverwerkersRechten op kennisgeving en bezwaar bestaan
DatalekMelding snel gebeurt, 'zonder onredelijke vertraging'
DoorgiftenEen geldig mechanisme aanwezig is als gegevens de EER verlaten
VerwijderingVoorwaarden aan het einde van de relatie duidelijk zijn
AuditsControlerechten echt zijn, niet decoratief

Als u deze voorwaarden regelmatig onderhandelt als onderdeel van inkoop of breder leverancierscontractbeheer, loont het om deze checklist te standaardiseren zodat iedere overeenkomst dezelfde aandacht krijgt, in plaats van afhankelijk te zijn van wie toevallig de beoordeling doet.

De DPA eindigt niet bij de handtekening

Dit is het deel dat vaak wordt vergeten. Zodra een DPA is getekend, wordt het een doorlopende verplichting, geen afgeronde taak. De lijst met subverwerkers verandert. De jaarlijkse review komt eraan. Een juridische ontwikkeling betekent dat de SCC's opnieuw moeten worden gevalideerd. Niets daarvan kondigt zichzelf aan.

De DPA naast het leverancierscontract bewaren, met de reviewdata, subverwerkersvoorwaarden en doorgifteverplichtingen erbij bijgehouden, is precies waar beheer van verwerkersovereenkomsten voor bedoeld is. Het betekent dat de overeenkomst waarover u zo zorgvuldig heeft onderhandeld niet stilletjes veroudert in een map. Een contract repository houdt het document vindbaar, en automatische herinneringen voor vervaldata en verlengingen zorgen dat reviewdata daadwerkelijk boven water komen in plaats van voorbij te glippen. Als u wilt voelen hoe dat werkt zonder ergens aan vast te zitten, zet onze gratis herinnering voor verwerkersovereenkomsten er een binnen een paar minuten voor u op.

Sneller een DPA beoordelen

Als u nu naar de DPA van een leverancier kijkt en snel wilt weten of die solide is, haalt onze gratis data sharing agreement analyzer de bepalingen over toegestaan gebruik, beveiliging, bewaartermijnen, datalekmeldingen en doorgiften eruit en markeert waar ze onvoldoende lijken. Het is een nuttige eerste controle voor een gedetailleerde juridische beoordeling, het soort controle dat u binnen een minuut vertelt of u naar een zorgvuldige overeenkomst kijkt of naar een probleem in wording. Als u het bredere beeld wilt van hoe AI dit soort werk verandert, is ons stuk over legal AI een goede aanvulling.

DPA's opstellen en beoordelen is echt bevredigend werk zodra u een duidelijk beeld heeft van hoe goed eruitziet, en ik help iemand daar altijd graag bij. Neem gerust contact op als u vragen heeft. Ik lees ieder bericht zelf en beantwoord het persoonlijk.

Ga aan de slag met Contracko

Verban het gedoe rondom contract- en abonnementsbeheer. Contracko helpt je georganiseerd, op tijd en in controle te blijven. Begin vandaag nog met vereenvoudigen.

ennldefresitpt