Essentiële cookies alleen. Geen tracking.
Artikel 28 AVG · lees de DPA na
Een verwerkersovereenkomst krijgen is niet hetzelfde als een goede krijgen. Zo'n overeenkomst legt vast wat een externe partij met jouw persoonsgegevens mag doen, en de meeste krijg je kant-en-klaar van je leverancier. Dit is geen model om te downloaden, maar een leescheck voor de versie die je net binnenkreeg.
Op basis van AVG artikel 28 en publicaties van de Autoriteit Persoonsgegevens. Algemene uitleg, geen juridisch advies. Laatst bijgewerkt op 10 juni 2026.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is de schriftelijke overeenkomst waarin een organisatie en haar verwerker vastleggen wat er met persoonsgegevens mag gebeuren. AVG artikel 28 lid 3 schrijft onder meer voor dat de verwerker alleen op instructie handelt, geheimhouding en passende beveiliging waarborgt, subverwerkers alleen met toestemming inschakelt en de gegevens na afloop wist of teruggeeft. In het Engels heet het een data processing agreement (DPA); zoek je op “DPA” of “DPA AVG”, dan is dit dezelfde overeenkomst. Het is geen formaliteit en geen bijlage die je even meetekent, maar de afspraak die bepaalt wat een ander met de gegevens van jouw mensen mag.
Een veelgemaakte aanname: de leverancier stuurt de verwerkersovereenkomst mee, dus het zit wel goed. Een document krijgen is alleen niet hetzelfde als een goed document krijgen. De Autoriteit Persoonsgegevens onderzocht in 2020 verwerkersovereenkomsten in de praktijk en kwam tot een ongemakkelijke conclusie: “de” verwerkersovereenkomst bestaat niet. Het is maatwerk, en de toezichthouder trof documenten aan die de eisen niet helemaal waarmaakten. Een overeenkomst die de wettekst netjes overschrijft, ziet er compleet uit en is dat op papier ook, maar zegt nog weinig over wat er gebeurt als het misgaat.
Daarom lees je hem zelf na, ook als de verwerker hem aanlevert. Wat er minimaal in moet, staat in artikel 28 lid 3, en die acht onderdelen lees je het makkelijkst als een aftekenstrook.
De twee rollen
De verwerkingsverantwoordelijke bepaalt waarvoor en hoe persoonsgegevens worden gebruikt; de verwerker handelt in opdracht en mag er niets anders mee doen dan afgesproken. De verwerkersovereenkomst is precies de lijn tussen die twee rollen: ze legt vast dat de verwerker uitvoert wat de verantwoordelijke beslist, en niet meer dan dat.
Een voorbeeld dichtbij de praktijk. Laat een organisatie een externe dienst de verslagen van haar overleggen maken, dan verwerkt die dienst persoonsgegevens namens de organisatie. De organisatie blijft de verantwoordelijke en bepaalt het doel; de dienst is de verwerker en voert uit. Wie wat beslist, ligt vast in de verwerkersovereenkomst tussen beide.
Dat onderscheid is de basis. Zonder dat de rollen helder zijn, is de rest van het document niet te lezen, want elk onderdeel zegt iets over wat de verwerker namens jou moet doen.
De aftekenstrook
Artikel 28 lid 3 noemt acht onderdelen (a tot en met h) die in elke verwerkersovereenkomst horen te staan. Links staat wat de wet voorschrijft, rechts staat wat dat voor jou betekent als je een aangeleverde verwerkersovereenkomst nagaat. Loop ze af als een strook die je punt voor punt aftekent. Per onderdeel van artikel 28 zie je zo waar je op let voordat je tekent.
| Onderdeel | Wat de wet voorschrijft (artikel 28 lid 3) | Wat dit voor jou betekent |
|---|---|---|
|
a)Instructie
|
De verwerker verwerkt de persoonsgegevens uitsluitend op schriftelijke instructie van de verantwoordelijke (ook bij doorgifte buiten de EU, tenzij de wet die verplicht). | De leverancier mag jouw data niet voor eigen doelen gebruiken. Check bij een AI-dienst of er staat dat hij niet op klantdata traint. |
|
b)Geheimhouding
|
Iedereen die de gegevens namens de verwerker verwerkt, is tot vertrouwelijkheid verplicht. | Staat de geheimhoudingsplicht er expliciet, ook voor het personeel en eventuele inhuur van de leverancier? |
|
c)Beveiliging
|
De verwerker neemt alle passende beveiligingsmaatregelen die artikel 32 vereist. | Worden de maatregelen concreet benoemd (encryptie, toegang, bewaring), of staat er alleen "passend" zonder invulling? |
|
d)Subverwerkers
|
De verwerker voldoet aan de voorwaarden van lid 2 en lid 4 voor het inschakelen van een andere verwerker. | Staat er een subverwerkerslijst, hoe geef je toestemming, en heb je een verzetsrecht bij wijziging? Dit is leesmoment 1 hieronder. |
|
e)Bijstand bij betrokkenenrechten
|
De verwerker helpt de verantwoordelijke bij verzoeken van betrokkenen (inzage, correctie, verwijdering). | Hoe en binnen welke termijn helpt de leverancier als iemand zijn gegevens opvraagt of laat verwijderen? |
|
f)Bijstand bij plichten
|
De verwerker helpt bij beveiliging, datalekmelding en DPIA (artikelen 32 tot en met 36). | Binnen welke termijn en aan welk contactpunt meldt de leverancier een datalek? Dit is leesmoment 2 hieronder. |
|
g)Wissen of teruggeven
|
Na afloop van de opdracht wist de verwerker de gegevens of bezorgt ze terug, naar keuze van de verantwoordelijke. | Staat er wat er na opzegging met de data gebeurt, en op welke termijn dat is geregeld? |
|
h)Audits
|
De verwerker stelt informatie ter beschikking en maakt audits en inspecties mogelijk. | Mag jij (of een auditor namens jou) controleren of de leverancier zich aan de afspraken houdt? |
Wat de wet voorschrijft
De verwerker verwerkt de persoonsgegevens uitsluitend op schriftelijke instructie van de verantwoordelijke (ook bij doorgifte buiten de EU, tenzij de wet die verplicht).
Wat dit voor jou betekent
De leverancier mag jouw data niet voor eigen doelen gebruiken. Check bij een AI-dienst of er staat dat hij niet op klantdata traint.
Wat de wet voorschrijft
Iedereen die de gegevens namens de verwerker verwerkt, is tot vertrouwelijkheid verplicht.
Wat dit voor jou betekent
Staat de geheimhoudingsplicht er expliciet, ook voor het personeel en eventuele inhuur van de leverancier?
Wat de wet voorschrijft
De verwerker neemt alle passende beveiligingsmaatregelen die artikel 32 vereist.
Wat dit voor jou betekent
Worden de maatregelen concreet benoemd (encryptie, toegang, bewaring), of staat er alleen "passend" zonder invulling?
Wat de wet voorschrijft
De verwerker voldoet aan de voorwaarden van lid 2 en lid 4 voor het inschakelen van een andere verwerker.
Wat dit voor jou betekent
Staat er een subverwerkerslijst, hoe geef je toestemming, en heb je een verzetsrecht bij wijziging? Dit is leesmoment 1 hieronder.
Wat de wet voorschrijft
De verwerker helpt de verantwoordelijke bij verzoeken van betrokkenen (inzage, correctie, verwijdering).
Wat dit voor jou betekent
Hoe en binnen welke termijn helpt de leverancier als iemand zijn gegevens opvraagt of laat verwijderen?
Wat de wet voorschrijft
De verwerker helpt bij beveiliging, datalekmelding en DPIA (artikelen 32 tot en met 36).
Wat dit voor jou betekent
Binnen welke termijn en aan welk contactpunt meldt de leverancier een datalek? Dit is leesmoment 2 hieronder.
Wat de wet voorschrijft
Na afloop van de opdracht wist de verwerker de gegevens of bezorgt ze terug, naar keuze van de verantwoordelijke.
Wat dit voor jou betekent
Staat er wat er na opzegging met de data gebeurt, en op welke termijn dat is geregeld?
Wat de wet voorschrijft
De verwerker stelt informatie ter beschikking en maakt audits en inspecties mogelijk.
Wat dit voor jou betekent
Mag jij (of een auditor namens jou) controleren of de leverancier zich aan de afspraken houdt?
Bron: AVG artikel 28 lid 3, privacy-regulation.eu. Geparafraseerd, inhoudelijk getrouw aan de verordeningstekst.
Bijna elke verwerkersovereenkomst die je krijgt, vinkt de linkerkolom netjes af en zakt op de rechterkolom. De acht onderdelen staan er allemaal, alleen blijft het bij “passende beveiliging” in plaats van encryptie en toegangsbeheer, en bij “de verwerker meldt een datalek” zonder termijn of contactpunt. Compleet op papier is iets anders dan concreet in de praktijk, en alleen die rechterkolom vertelt je welke van de twee je in handen hebt.
Twee van die acht onderdelen verdienen extra aandacht, omdat juist daar de meeste verwerkersovereenkomsten vaag worden.
Leesmoment 1
Een verwerker mag pas een andere partij inschakelen, een subverwerker, met jouw schriftelijke toestemming, en blijft daarna zelf volledig aansprakelijk voor wat die subverwerker doet (artikel 28 lid 2 en lid 4). De aansprakelijkheid blijft dus bij de partij waarmee jij tekent, ook als het ergens achter in de keten misgaat.
Wat je in de verwerkersovereenkomst zoekt: een lijst van de subverwerkers, de manier waarop je toestemming geeft, en de garantie dat elke subverwerker aan dezelfde plichten is gebonden als de hoofdverwerker.
Artikel 28 lid 2 kent twee smaken toestemming. Bij specifieke toestemming mag de verwerker een nieuwe subverwerker pas inschakelen nadat jij die hebt goedgekeurd. Bij algemene toestemming mag de verwerker wisselen, maar moet hij je vooraf informeren, zodat jij bezwaar kunt maken. Het beslismoment dat je in het document opzoekt: mag de hoofdverwerker de subverwerkerslijst eenzijdig wijzigen, en welk recht heb jij daartegenover? Lees of je bij een nieuwe subverwerker een verzetsrecht hebt en, als je bezwaar niet wordt opgelost, een recht om op te zeggen. Een verwerkersovereenkomst die de lijst eenzijdig laat veranderen zonder meldplicht of verzetsrecht is een rode vlag.
In die subverwerkerslijst zie je vaak ook waar de data terechtkomt; staat daar een partij buiten de EU, dan is dat een apart vraagstuk (de CLOUD Act, Amerikaanse modelaanbieders in de keten) dat we los uitwerken op AI zonder data naar de VS. Hier houden we het bij de clausule: wie mag de keten in, en met welk recht voor jou.
Het tweede onderdeel waar overeenkomsten vaag worden, is de regel over een datalek, en dat is er precies eentje die je later hard nodig kunt hebben.
Leesmoment 2
De verwerkersovereenkomst moet vastleggen dat en hoe de verwerker een datalek bij jou meldt, want bij een lek aan de leverancierskant ben jij als verantwoordelijke degene die het mogelijk aan de Autoriteit Persoonsgegevens moet melden. Jij draagt de meldplicht, ook als het lek bij je leverancier ontstaat; dan moet die leverancier jou op tijd en volledig genoeg informeren om je eigen termijn te halen.
Wat je in het document zoekt: binnen welke termijn de leverancier meldt, aan welk contactpunt, en met welke inhoud.
Dat deze afspraak vaak te vaag is, is geen aanname. De Autoriteit Persoonsgegevens onderzocht in 2025 vijf grote cyberaanvallen op dienstverleners die samen meer dan 1.250 organisaties en vermoedelijk 10,5 miljoen mensen raakten, en concludeerde dat juist deze meldafspraken vaak te vaag zijn om bij een aanval iets aan te hebben (AP, 12 november 2025). Een clausule die alleen zegt “de verwerker meldt een datalek” zonder termijn, contactpunt of inhoud, is zo'n vage afspraak.
Wat een datalek door een AI-tool precies is en hoe de meldplicht-klok van jouw organisatie loopt, lees je op onze pagina over datalekken bij AI-tools.
Voordat je een verwerkersovereenkomst afdwingt, is het de moeite om te weten wanneer je er echt een nodig hebt, en wanneer niet.
Wanneer en wanneer niet
Je sluit een verwerkersovereenkomst zodra je een externe partij persoonsgegevens namens jou laat verwerken. Je hebt er geen nodig als die andere partij zelf verwerkingsverantwoordelijke is, of als er helemaal geen persoonsgegevens in het spel zijn. De vraag is dus niet “is dit een grote leverancier”, maar “verwerkt deze partij gegevens van mijn mensen in mijn opdracht”.
Wel een verwerkersovereenkomst
Geen verwerkersovereenkomst
Stel, je leest de verwerkersovereenkomst na en er rammelt iets: wat dan? De verwerkersovereenkomst die een SaaS-leverancier aanbiedt, is meestal een standaarddocument dat je niet regel voor regel kunt onderhandelen; toetsen betekent dus niet automatisch dat je het kunt aanpassen. Op documentniveau heb je dan grofweg drie opties. Je kunt de leverancier om een aanvulling of addendum vragen op het punt dat rammelt, bijvoorbeeld de datalek-termijn of een subverwerker-clausule. Je kunt het restrisico bewust en gedocumenteerd accepteren. Of je concludeert dat de verwerkersovereenkomst onvoldoende is en je zoekt een andere tool. Welke tool dan, en langs welke assen je die afweegt, lees je bij een AVG-proof AI-tool kiezen; dit blijft het document, niet het keuzebesluit. Voor wie de mag-het-status van een publieke AI-tool zoekt, lees is ChatGPT AVG-proof.
En als die verwerkersovereenkomst er helemaal niet is, of als hij niet deugt, is dat meer dan een formele tekortkoming.
Het ontbreekt of rammelt
Het ontbreken van een verwerkersovereenkomst is een overtreding van artikel 28 AVG, en de Autoriteit Persoonsgegevens kan daarvoor handhaven; voor zo'n overtreding voorziet de AVG in boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is (artikel 83 lid 4). Dat is het maximum, niet de standaard, en of het zover komt hangt af van de situatie. De boete is alleen niet het deel dat je dagelijks raakt.
Belangrijker voor de praktijk is dit: zonder concrete afspraken sta je er bij een datalek of een audit alleen voor. Komt er een lek bij je leverancier, dan bepaalt de meldclausule of je je eigen termijn naar de AP haalt of achter de feiten aanloopt. Vraagt een toezichthouder bij een audit om bewijs, dan telt wat er zwart op wit staat, niet wat je had aangenomen. Dat is waarom je de verwerkersovereenkomst vooraf naleest in plaats van achteraf.
Als je nu zelf een verwerkersovereenkomst zit te beoordelen, helpt het om te zien hoe een leverancier die de acht onderdelen wel concreet invult, dat doet.
De acht onderdelen staan meestal wel in het document. Het verschil zit in de rechterkolom: hoe concreet een leverancier ze invult. Zo ziet die kolom eruit als iemand het serieus neemt.
Een concreet voorbeeld
Zo ziet de rechterkolom van de aftekenstrook eruit als een leverancier de acht onderdelen concreet invult. Notuly, een Nederlandse dienst die automatisch verslagen maakt van fysieke overleggen, levert daar standaard een verwerkersovereenkomst bij. Het nut van die overeenkomst zit niet in het bestaan ervan, maar in hoe die rechterkolom wordt ingevuld.
Neem de organisatie die een overleg laat vastleggen: zij blijft de verantwoordelijke, Notuly is de verwerker, en wat de verwerker mag, staat in het document. Leg de rechterkolom van de strook naast Notuly, dan staat er dit. De volledige AI-stap, van spraak naar tekst tot de samenvatting, draait op Notuly's eigen modellen op servers in Nederland (Amsterdam). Je gesprek verlaat de EU niet. Dat Notuly jouw gesprekken niet gebruikt om modellen te trainen, staat in de verwerkersovereenkomst die je vooraf kunt opvragen, niet alleen op deze pagina. Dat raakt onderdeel a (alleen op instructie, geen eigen gebruik), onderdeel c (beveiliging concreet in plaats van “passend”) en onderdeel d (waar de verwerking plaatsvindt en welke subverwerkers in de keten zitten). De rol blijft binnen de lijn: Notuly legt het gespreks- of overlegdeel vast, het oordeel over wat er met het verslag gebeurt, laat het bij jou.
Het kortste antwoord op “wat gebeurt er met de gegevens” is de levenscyclus zelf: opnemen, verwerken, het verslag naar je mail, en de audio binnen een minuut na verwerking gewist. Er blijft geen doorzoekbaar geluidsarchief achter. De tekst blijft wel: je kiest zelf of je alleen de samenvatting deelt of de volledige transcriptie meestuurt, dus het is niet zo dat er niets overblijft, alleen het geluid verdwijnt. De verwerkingstijd is gemiddeld een tot vijf minuten, bij lange gesprekken kan het oplopen tot rond de acht. Wie de subverwerkers zijn, staat in de verwerkersovereenkomst zelf; we noemen ze hier categoriaal en niet bij naam, omdat de overeenkomst de plek is waar zoiets thuishoort. Dat sluit onderdeel g (wissen na afloop) en de datalek-meldafspraak concreet aan op de strook.
De volledige AI-stap draait op Notuly's eigen modellen op servers in Nederland (Amsterdam). Je gesprek verlaat de EU niet.
Notuly gebruikt jouw gesprekken niet om modellen te trainen. Dat staat in de verwerkersovereenkomst, niet alleen op een pagina.
Opnemen, verwerken, verslag in je mail, en de audio binnen een minuut na verwerking gewist. Geen doorzoekbaar geluidsarchief.
De volledige verwerkersovereenkomst is op te vragen, en het bredere privacybeleid staat los beschreven. Hoe dit past in veilig vergaderen in het algemeen, lees je op de hub.
Voor de beslisser
De verwerkersovereenkomst zelf kost niets extra; een leverancier hoort hem standaard te leveren. De kosten zitten in de tijd om hem na te lezen langs de acht onderdelen, en die tijd verdien je terug op het moment dat er iets misgaat. Het tarief van de dienst zelf staat elders bij de prijzen, niet hier in de tekst.
Een verwerkersovereenkomst die de wettekst alleen herhaalt, geeft je bij een datalek of audit weinig houvast, en het ontbreken ervan is een overtreding van artikel 28 AVG waarvoor de AP kan handhaven. Het risico is niet de handtekening, maar de aanname dat de inhoud klopt.
Drie opties op documentniveau: vraag een addendum op het zwakke punt, accepteer het restrisico bewust en gedocumenteerd, of kies een andere tool. Welke tool dan, is een apart afwegingskader.
Ja, vraag hem op voordat je tekent en lees hem na langs de strook hierboven. Een leverancier die hem niet vooraf wil tonen, is op zichzelf al een signaal.
Een verwerkersovereenkomst is een schriftelijk contract dat vastlegt wat een externe partij met persoonsgegevens namens jou mag doen. Het Engelse woord ervoor is data processing agreement (DPA). Artikel 28 van de AVG schrijft voor dat zo'n overeenkomst er is zodra je gegevens laat verwerken.
Een verwerkersovereenkomst is verplicht zodra je een externe partij persoonsgegevens namens jou laat verwerken. Of het nu om hosting, salarisadministratie of een dienst gaat die je verslagen maakt: verwerkt iemand gegevens van jouw mensen in jouw opdracht, dan hoort er een verwerkersovereenkomst te liggen.
Artikel 28 lid 3 van de AVG noemt acht onderdelen die erin horen: handelen op instructie, geheimhouding, beveiliging, voorwaarden voor subverwerkers, bijstand bij verzoeken van betrokkenen, bijstand bij beveiliging en datalekken, wissen of teruggeven na afloop, en het mogelijk maken van audits. In de aftekenstrook hierboven staat per onderdeel wat dat voor jou betekent als je een aangeleverde overeenkomst nagaat.
In de praktijk levert de leverancier de verwerkersovereenkomst meestal aan als standaarddocument. Juridisch ligt de verantwoordelijkheid bij de verwerkingsverantwoordelijke om te zorgen dat er een geldige overeenkomst is. Wie hem opstelt is daarom minder belangrijk dan of jij hem naleest voordat je tekent.
De verwerkingsverantwoordelijke bepaalt waarvoor en hoe persoonsgegevens worden gebruikt; de verwerker handelt in opdracht en mag er niets anders mee doen dan afgesproken. De organisatie die een dienst inhuurt is doorgaans de verantwoordelijke, de ingehuurde dienst is de verwerker.
Een subverwerker is een partij die de verwerker zelf inschakelt om een deel van het werk te doen. Volgens artikel 28 lid 2 en lid 4 mag dat alleen met jouw schriftelijke toestemming, moet de subverwerker aan dezelfde plichten gebonden zijn, en blijft de hoofdverwerker volledig aansprakelijk. Kijk in de overeenkomst of je een verzetsrecht hebt als de lijst verandert.
Het ontbreken van een verwerkersovereenkomst is een overtreding van artikel 28 AVG, waarvoor de Autoriteit Persoonsgegevens kan handhaven met boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is (AVG artikel 83 lid 4). Dat is het wettelijke maximum, niet de standaardboete. Belangrijker in de praktijk: zonder concrete afspraken sta je er bij een datalek of audit alleen voor.
Je hebt er geen nodig als de andere partij zelf verwerkingsverantwoordelijke is of als er geen persoonsgegevens worden verwerkt. Een accountant die op eigen wettelijke grondslag werkt is bijvoorbeeld geen verwerker, en twee organisaties die als zelfstandige verantwoordelijken gegevens uitwisselen sluiten geen verwerkersovereenkomst.
Ja, een AI-notuleerdienst verwerkt persoonsgegevens namens jou, dus daar hoort een verwerkersovereenkomst bij. Let bij zo'n dienst extra op waar het gesprek wordt verwerkt en wat er na afloop met de opname gebeurt. Notuly levert er bijvoorbeeld standaard een en is op te vragen voordat je tekent.
Lees-kader
Loop deze zes punten langs zodra een leverancier je een verwerkersovereenkomst toestuurt. Elk punt is een concrete vraag aan het document, niet aan jezelf.
Lees of de leverancier de gegevens alleen op jouw instructie verwerkt en ze niet voor eigen doelen gebruikt. Bij een AI-dienst is de scherpe vraag of er staat dat hij niet op jouw data traint.
Kijk of de beveiligingsmaatregelen benoemd worden (encryptie, toegang, bewaring) of dat er alleen "passende maatregelen" staat. Een herhaling van de wet is geen afspraak.
Zoek de lijst van subverwerkers, of je vooraf toestemming geeft, en of je een verzetsrecht hebt als de lijst verandert. Een overeenkomst die de lijst eenzijdig laat veranderen zonder meldplicht of verzetsrecht is een rode vlag.
In de subverwerkerslijst zie je vaak ook waar de data terechtkomt. Staat daar een partij buiten de EU, dan is dat een apart aandachtspunt dat je los nagaat.
Controleer binnen welke termijn de leverancier een datalek meldt, aan welk contactpunt en met welke inhoud. Jij draagt de meldplicht, dus die afspraak moet je in staat stellen je eigen termijn te halen.
Lees wat er na opzegging met de gegevens gebeurt en op welke termijn. Staat er dat ze worden gewist of teruggegeven naar jouw keuze, dan is dat onderdeel goed geregeld.
Lees ook
Veilig notuleren
Wat een app met je gesprek doet, en hoe je dat veilig houdt.
Privacy & Security
Verwerkersovereenkomst, servers en bewaartermijn van Notuly.
AI zonder data naar de VS
De CLOUD Act en Amerikaanse partijen in de keten.
Is ChatGPT AVG-proof?
Wat de AVG zegt over gesprekken door een publieke AI-tool halen.
Overweeg je een dienst die je overleggen vastlegt, en wil je de verwerkersovereenkomst vooraf zien, dan kun je hem opvragen en naast de zes checks hierboven leggen. Geen haast, dit is een leescheck, geen aankoop.
Bronnen
Dit is algemene uitleg over verwerkersovereenkomsten, geen juridisch advies. Raadpleeg bij twijfel je functionaris voor gegevensbescherming (FG/DPO) of een jurist. Laatst bijgewerkt: 10 juni 2026.
Laatst bijgewerkt: juni 2026