Een verwerkersovereenkomst (data processing agreement, DPA) is het contract dat regelt hoe een leverancier namens jou met persoonsgegevens omgaat.
Vraag voordat je met een leverancier tekent naar:
- de opslaglocatie van je data
- subverwerkers
- meldtermijnen bij datalekken
- AI-trainingspraktijken
- auditrechten, en
- verwijderingsprocedures.
De eisen verschillen onder de AVG, de UK GDPR en Amerikaanse staatsprivacywetten, en elke jurisdictie vereist specifieke contractuele formuleringen.
Dit artikel is uitsluitend informatief bedoeld en vormt geen juridisch advies. Organisaties doen er verstandig aan een gekwalificeerde jurist te raadplegen voor jurisdictiespecifiek advies over verwerkersovereenkomsten en de naleving van privacywetgeving.
Waarom de DPA van je leverancier een compliancedocument én een risicosignaal is
Een contract tekenen met een softwareleverancier is routine. Maar opnames uploaden, klantdata delen of een AI-notulist aan je agenda koppelen: daar staat meer op het spel.
Juridisch gezien blijf je, zodra persoonsgegevens naar een externe verwerker verhuizen, zelf verantwoordelijk voor wat ermee gebeurt.
Dat is het kernprincipe achter DPA-vereisten: de verwerkingsverantwoordelijke (de organisatie die het doel en de middelen van de verwerking bepaalt) blijft aansprakelijk voor het handelen van de verwerker.
In Europa
Onder artikel 28 AVG is die aansprakelijkheid structureel. Een goed opgestelde verwerkersovereenkomst documenteert dat de relatie correct is geregeld. Een slecht opgestelde DPA, of het ontbreken ervan, laat die aansprakelijkheid ongedekt.
De handhavingscijfers maken dit concreet. Volgens de DLA Piper GDPR Fines and Data Breach Survey (januari 2026) zijn de cumulatieve AVG-boetes sinds mei 2018 opgelopen tot €7,1 miljard, waarvan ongeveer €1,2 miljard alleen al in 2025 werd opgelegd.
Dezelfde survey noteerde een stijging van 22% in datalekmeldingen ten opzichte van het jaar ervoor, van 363 naar 443 per dag: de eerste keer sinds de invoering van de AVG dat het gemiddelde aantal dagelijkse meldingen boven de 400 uitkomt.
In de Verenigde Staten
In de VS kunnen boetes onder de CCPA/CPRA oplopen tot $7.988 per opzettelijke overtreding, volgens de CPI-geïndexeerde drempels van de CPPA.
Amerikaanse organisaties gaan er vaak van uit dat DPA's een Europese eis zijn. Dat is niet zo.
De CCPA/CPRA vereist schriftelijke serviceprovidercontracten die expliciet verbieden dat de data wordt verkocht, verder wordt verstrekt of wordt gecombineerd met persoonsgegevens die de leverancier zelf heeft verzameld
Colorado, Virginia, Connecticut en andere staten met actieve privacywetten vereisen vergelijkbare overeenkomsten. De juridische term verschilt; de inhoud is hetzelfde.
📚 Lees ook:
Voordat je iets vraagt: weet in welke verwerkingsrelatie je zit
In een relatie tussen verwerkingsverantwoordelijke en verwerker bepaal jij het doel en de middelen van de verwerking en handelt de leverancier op jouw instructies. Een standaard verwerkersovereenkomst conform artikel 28 AVG regelt dit. Het is de constructie die voor de meeste SaaS-tools geldt.
Bij een relatie tussen twee verwerkingsverantwoordelijken verwerkt de leverancier de data daarentegen voor eigen, zelfstandige doeleinden. Als een leverancier producten bouwt, analyses draait of AI-modellen traint op jouw data, kan hij voor die activiteiten als verwerkingsverantwoordelijke optreden, ook als hij tegelijkertijd voor andere activiteiten verwerker is.
In dat geval dekt een standaard verwerkers-DPA de activiteiten die de leverancier als verwerkingsverantwoordelijke uitvoert niet. Als de DPA geen expliciet onderscheid maakt tussen de twee rollen, heeft de overeenkomst een structurele zwakte die je met geen enkele onderhandeling over meldtermijnen of subverwerkerslijsten repareert.
Stel eerst vast, voordat je de onderstaande vragen verstuurt: welke rol speelt deze leverancier, en weerspiegelt de DPA de werkelijke relatie?
De vragen voor je leverancier, en hoe een goed antwoord eruitziet
Dit zijn criteria om te beoordelen of een verwerkersovereenkomst echt bescherming biedt. Of een leverancier ze snel en specifiek kan beantwoorden, zegt veel over of de compliance-infrastructuur echt bestaat of achteraf in elkaar is gezet.
1. Waar wordt mijn data opgeslagen en verwerkt?
De datalocatie bepaalt welk juridisch kader op je data van toepassing is en of er mechanismen voor internationale doorgifte nodig zijn.
Voor organisaties in de EU en het VK vereist doorgifte van data naar een land zonder adequaatheidsbesluit standaardcontractbepalingen (SCC's) voor doorgiftes vanuit de EU, of de UK International Data Transfer Agreement (UK IDTA) voor doorgiftes vanuit het VK.
Die twee zijn niet uitwisselbaar.
📌 Een cruciale nuance: Serverlocatie en de jurisdictie van de juridische entiteit zijn twee verschillende dingen. Een leverancier met hoofdkantoor in de VS en datacenters in de EU valt nog steeds onder de Amerikaanse CLOUD Act, die afgifte van data kan afdwingen, ongeacht waar die data fysiek staat.
Vraag specifiek of de juridische entiteit van de leverancier in de EU of EER is gevestigd, en niet alleen waar de servers staan.
Controleer bij Amerikaanse leveranciers of ze deelnemen aan het EU-US Data Privacy Framework, dat in september 2025 door het Gerecht van de EU in stand is gehouden. Een beroep bij het HvJ-EU (zaak C-703/25 P) loopt medio 2026 nog, dus organisaties die op het DPF leunen, doen er verstandig aan SCC's als parallelle waarborg aan te houden.
✅ Groene vlag: Een in de EU gevestigde entiteit met uitsluitend EU-datacenters, of een Amerikaanse leverancier met actieve DPF-certificering én SCC's.
❌ Rode vlag: "Wereldwijde infrastructuur" zonder details over jurisdictie, of niet kunnen bevestigen in welk land de juridische entiteit is gevestigd.
2. Wie zijn jullie subverwerkers, en hoe worden die gecontroleerd?
Subverwerkers zijn de derde partijen waarop je leverancier steunt om zijn dienst te leveren.
Onder artikel 28 AVG moeten zij aan dezelfde gegevensbeschermingsverplichtingen voldoen als de hoofdverwerker. Ook onder de CPRA gelden expliciete eisen om die verplichtingen contractueel door te zetten.
Vraag of de leverancier een actuele, openbaar toegankelijke subverwerkerslijst bijhoudt; hoe en wanneer klanten over nieuwe subverwerkers worden geïnformeerd; en hoelang klanten hebben om bezwaar te maken.
✅ Groene vlag: Openbare subverwerkerslijst met een notificatie-abonnement en een bezwaartermijn van 30 dagen.
❌ Rode vlag: Algemene voorafgaande goedkeuring van alle huidige en toekomstige subverwerkers, zonder meldplicht.
3. Gebruiken jullie mijn data om AI-modellen te trainen?
Veel AI-leveranciers behouden zich het recht voor om klantdata te gebruiken om hun modellen te verbeteren. Dat recht staat vaak niet in de DPA; het leeft in de servicevoorwaarden, achter onschuldig ogende taal als "om onze diensten te verbeteren".
Het onderscheid is belangrijk: een privacybeleid kan eenzijdig worden gewijzigd. Een DPA-clausule niet. En een productinstelling is geen contract.
Vraag specifiek of de DPA een expliciet contractueel verbod bevat op het gebruik van klantcontent (opnames, transcripties, samenvattingen) om AI-modellen te trainen, te finetunen of te verbeteren, en of dat verbod de standaard is of een opt-out van de klant vereist.
✅ Groene vlag: Een expliciet, bindend contractueel verbod op AI-training, zonder uitzonderingen.
❌ Rode vlag: Het trainingsverbod bestaat alleen als productinstelling; de DPA noemt AI-training helemaal niet.
4. Welke beveiligingscertificeringen hebben jullie, en kunnen jullie die aantonen?
Artikel 32 AVG vereist dat verwerkers technische en organisatorische maatregelen (TOM's) treffen die passen bij het risico.
Brede DPA-taal zoals "commercieel redelijke beveiligingspraktijken" volstaat niet; de overeenkomst moet specifieke maatregelen benoemen.
Certificeringen zijn de snelste graadmeter. Vraag om een actueel rapport volgens SOC 2 Type II (geen Type I, en niet ouder dan 12 maanden). Controleer of de encryptiestandaarden in de DPA zijn vastgelegd (AES-256 tijdens verzending en bij opslag).
✅ Groene vlag: Actueel SOC 2 Type II-rapport beschikbaar onder NDA; encryptiestandaarden benoemd in de DPA.
❌ Rode vlag: Certificeringen die wel in de marketing worden genoemd maar niet aantoonbaar zijn; alleen een SOC 2 Type I-rapport beschikbaar.
5. Hoe snel melden jullie een datalek aan mij?
Artikel 33 AVG verplicht verwerkingsverantwoordelijken om een datalek binnen 72 uur nadat ze er kennis van hebben genomen te melden bij de toezichthoudende autoriteit.
Omdat die klok begint te lopen zodra de verwerkingsverantwoordelijke het verneemt, snoept een trage verwerker direct tijd af van je eigen reactievenster. De UK GDPR hanteert dezelfde regel.
De DPA moet een maximale meldtermijn specificeren en de melding niet alleen omschrijven als "onverwijld" of "zonder onnodige vertraging". Beide formuleringen zijn juridisch betekenisvol, maar operationeel vaag.
✅ Groene vlag: De DPA specificeert melding uiterlijk 72 uur na ontdekking, met een benoemd escalatiecontact.
❌ Rode vlag: "Onverwijld" of "zonder onnodige vertraging" zonder concrete termijn; een datalek zo eng gedefinieerd dat incidenten die er voor jou toe doen erbuiten vallen.
6. Wat zijn mijn auditrechten, en hoe oefen ik die uit?
Artikel 28 AVG geeft verwerkingsverantwoordelijken het recht om verwerkers te auditen en toegang te krijgen tot alle informatie die nodig is om naleving aan te tonen.
In de praktijk is het recht om een actueel SOC 2 Type II-rapport op te vragen het mechanisme dat echt werkt.
Vraag of de DPA expliciet accepteert dat een auditrapport van een derde partij aan deze verplichting voldoet, een aankondigingstermijn specificeert (30 dagen is standaard) en het auditrecht uitbreidt naar subverwerkers.
✅ Groene vlag: SOC 2 Type II geaccepteerd als invulling van de audit; aankondigingstermijn van 30 dagen vastgelegd; een mechanisme om naleving door subverwerkers te verifiëren.
❌ Rode vlag: Vaag auditrecht; een openbare webpagina die als invulling van de verplichting wordt opgevoerd; geen auditmechanisme voor subverwerkers.
7. Hoe en wanneer wordt mijn data verwijderd?
De DPA moet een bewaarschema vastleggen, de gebeurtenissen die verwijdering in gang zetten, en of de leverancier bij beëindiging een schriftelijke verklaring van verwijdering afgeeft.
Vraag of de verwijdering alle kopieën dekt (inclusief back-ups en kopieën bij subverwerkers) en of geanonimiseerde afgeleiden worden bewaard nadat de relatie is beëindigd.
✅ Groene vlag: Gedefinieerd bewaarschema; verwijdering binnen 30 dagen na beëindiging; schriftelijke verklaring beschikbaar; back-ups vallen binnen de scope.
❌ Rode vlag: Bewaartermijnen geregeld via het privacybeleid van de leverancier in plaats van de DPA; geen verwijderingsverklaring.
8. Welke jurisdicties dekt jullie DPA?
Een DPA die voor AVG-naleving is geschreven, voldoet niet automatisch aan de verplichtingen van de UK GDPR.
Sinds de Brexit hanteert het VK een eigen regime en is de UK IDTA (niet de EU-SCC's) het vereiste mechanisme voor internationale doorgiftes vanuit het VK.
Voor Amerikaanse organisaties onder de CCPA moet de DPA de leverancier expliciet verbieden om persoonsgegevens te verkopen, te bewaren of te verstrekken voor enig doel buiten de gecontracteerde dienst.
✅ Groene vlag: AVG, UK GDPR en CCPA/CPRA expliciet benoemd; UK IDTA opgenomen voor doorgiftes vanuit het VK; CCPA-addendum met specifiek opgesomde verboden.
❌ Rode vlag: Een catch-all als "toepasselijke privacywetgeving" zonder jurisdictiespecifieke mechanismen; het VK wordt niet als aparte jurisdictie genoemd.
De DPA-checklist voor leveranciers in één oogopslag
| Vraag | Wat de DPA moet vastleggen | Groene vlag | Rode vlag |
|---|---|---|---|
| Waar wordt data opgeslagen en verwerkt? | Clausule over datalocatie; mechanisme voor internationale doorgifte benoemd | EU-entiteit + EU-servers, of DPF-gecertificeerde Amerikaanse leverancier | "Wereldwijde infrastructuur" zonder details over jurisdictie |
| Wie zijn de subverwerkers? | Subverwerkerslijst; notificatie- en bezwaarrechten | Openbare lijst met abonneerbare updates; bezwaartermijn van 30 dagen | Algemene voorafgaande goedkeuring; geen meldplicht |
| Wordt mijn data gebruikt om AI-modellen te trainen? | Expliciet contractueel verbod op AI-training | Bindend verbod in de DPA, zonder uitzonderingen | Alleen opt-out; verbod bestaat slechts als productinstelling |
| Welke beveiligingscertificeringen gelden er? | Specifieke TOM's; documentatiemechanisme | Actueel SOC 2 Type II-rapport onder NDA; ISO 27001 met certificaatdetails | Certificeringen genoemd in marketing maar niet aantoonbaar |
| Wat zijn de meldtermijnen bij een datalek? | Concrete termijn, niet "onverwijld" | 72 uur na ontdekking; benoemd escalatiecontact | "Onverwijld" zonder gedefinieerde termijn |
| Wat zijn mijn auditrechten? | Recht om te auditen of rapporten op te vragen; mechanisme om dat uit te oefenen | SOC 2 geaccepteerd als invulling van de audit; aankondigingstermijn van 30 dagen | Vaag auditrecht; openbare webpagina opgevoerd als invulling van de verplichting |
| Wanneer en hoe wordt mijn data verwijderd? | Bewaarschema; verwijderingsverklaring | Verwijdering binnen 30 dagen na beëindiging; schriftelijke verklaring; inclusief back-ups | Bewaartermijnen geregeld via het privacybeleid; geen verwijderingsverklaring |
| Welke jurisdicties worden gedekt? | AVG, UK GDPR en CCPA expliciet benoemd met jurisdictiespecifieke mechanismen | Alle relevante kaders benoemd; UK IDTA voor doorgiftes vanuit het VK | Alleen AVG met een catch-all-verwijzing naar "toepasselijke wetgeving" |
Wat doe je als de DPA van een leverancier tekortschiet?
Een DPA die op een aantal van deze criteria zakt, betekent niet automatisch dat je niet met die leverancier kunt werken; wel dat je vóór het tekenen moet onderhandelen.
DPA-bepalingen op enterprise-niveau zijn doorgaans onderhandelbaar: meldtermijnen voor subverwerkers, verwijdertermijnen, jurisdictiescope en de formulering van het AI-trainingsverbod worden allemaal regelmatig aangepast.
Bevat het standaardcontract van een leverancier helemaal geen DPA, vraag er dan expliciet om tijdens de onboarding. Amerikaanse SaaS-leveranciers leveren die op verzoek vaak als apart data processing addendum.
Een leverancier die er geen kan overleggen, of die het verzoek als ongebruikelijk behandelt, geeft daarmee het signaal dat compliance niet in de bedrijfsvoering is verankerd. Dat is een wezenlijk leveranciersrisico, los van de kwaliteit van het product.
Hoe een conforme DPA er in de praktijk uitziet
Bij audiotools en AI-notulisten speelt het DPA-vraagstuk scherper dan in de meeste andere softwarecategorieën.
Opnames bevatten stemmen van sprekers, vergaderinhoud en gespreksgegevens: allemaal persoonsgegevens die om zorgvuldige omgang vragen. De DPA die deze relatie regelt, moet de gevoeligheid weerspiegelen van wat er wordt verwerkt.
📌 Zo ziet dat er in de praktijk uit bij HappyScribe:
Het datacenter van HappyScribe staat binnen de Europese Unie. Het is een Tier IV-faciliteit, gecertificeerd volgens de PCI DSS- en ISO 27001-standaarden. De servers zijn fysiek gescheiden van andere huurders.
Het bedrijf heeft een SOC 2 Type II-certificering; de details vind je in het Trust Center. Op alle accounts is roltoegangsbeheer (role-based access control) beschikbaar. Medewerkers tekenen een NDA als arbeidsvoorwaarde, wat de interne toegang tot klantcontent beperkt.
Veelgestelde vragen over verwerkersovereenkomsten
Wat is het verschil tussen een verwerkersovereenkomst en een overeenkomst voor gegevensdeling?
Een DPA regelt een relatie tussen verwerkingsverantwoordelijke en verwerker: de verwerker verwerkt data op instructie van de verwerkingsverantwoordelijke en mag die niet voor eigen doeleinden gebruiken.
Een overeenkomst voor gegevensdeling regelt daarentegen een constructie tussen twee verwerkingsverantwoordelijken, waarbij beide partijen zelfstandig het doel bepalen. Als een leverancier eigen doelen stelt voor jouw data, is een DPA alleen niet genoeg.
Hebben Amerikaanse bedrijven een verwerkersovereenkomst nodig?
Amerikaanse bedrijven die persoonsgegevens uit de EU of het VK verwerken, hebben een AVG-conforme of UK GDPR-conforme DPA nodig. Voor puur Amerikaanse activiteiten vereist de CCPA/CPRA serviceprovidercontracten die de leverancier verbieden persoonsgegevens te verkopen of verder te verstrekken buiten het gecontracteerde doel.
Kan één DPA zowel de AVG- als de CCPA-vereisten dekken?
Eén document kan beide afdekken, mits de vereisten van elke jurisdictie expliciet worden benoemd. Veel AVG-conforme DPA's bevatten een CCPA-addendum met de specifieke Californische verboden. De UK GDPR vereist een aparte sectie voor Britse doorgiftemechanismen, met name de UK IDTA in plaats van de EU-SCC's, omdat de twee regimes na de Brexit uit elkaar zijn gegroeid.
Wat gebeurt er als ik een contract teken met een leverancier zonder DPA?
Onder de AVG is doorgaan zonder conform verwerkerscontract een schending van artikel 28. De verwerkingsverantwoordelijke blijft aansprakelijk voor het handelen van de verwerker, en zonder schriftelijke overeenkomst is het lastiger je te verdedigen bij een onderzoek van de toezichthouder. Onder de CCPA kan de doorgifte zonder contract worden aangemerkt als verkoop van persoonsgegevens, met opt-outverplichtingen richting consumenten tot gevolg.
Hoe vaak moet ik de DPA van een leverancier opnieuw beoordelen?
Minimaal jaarlijks en bij contractverlenging. Subverwerkerslijsten veranderen, regelgeving evolueert en SOC 2 Type II-rapporten verlopen elke 12 maanden. Zet agendaherinneringen gekoppeld aan de verlengingsdata van je contracten, in plaats van de DPA-beoordeling als eenmalige stap te behandelen.
Moet een DPA iets regelen over het trainen van AI-modellen?
Standaardtemplates op basis van artikel 28 AVG dateren van vóór generatieve AI en bevatten standaard geen bepalingen over training. Gebruikt een leverancier persoonsgegevens om AI-modellen te trainen of te finetunen, dan is dat een secundair verwerkingsdoel dat een eigen rechtsgrond vereist. Voor elke leverancier die gespreks- of audiocontent verwerkt, is vragen om een expliciet contractueel verbod een redelijke en steeds gebruikelijkere inkooppositie.
Rodoshi Das
Rodoshi helpt SaaS-merken te groeien met content die converteert en stijgt in SERP's en LLM's. Ze brengt haar dagen door met het testen van tools en vertaalt haar ervaringen in boeiende verhalen om gebruikers te helpen weloverwogen aankoopbeslissingen te nemen. Na werktijd verruilt ze dashboards voor detectiveromans en tuintherapie.
