DPA Template

DPA-sjabloon, Data Processing Agreement Template, Verwerkersovereenkomst sjabloon, Gegevensverwerkingsovereenkomst template, DPA-model, Verwerkersovereenkomst template, Data Processing Agreement sjabloon, AVG verwerkersovereenkomst sjabloon, GDPR DPA template, Bewerkersovereenkomst sjabloon
Een DPA Template (Data Processing Agreement Template) is een standaard sjabloon voor een verwerkersovereenkomst die de afspraken vastlegt tussen een verwerkingsverantwoordelijke en verwerker over de verwerking van persoonsgegevens conform de AVG.
Privacy & Compliance

Wat is een DPA Template?

Een DPA Template (Data Processing Agreement Template) is een gestandaardiseerd sjabloon voor een verwerkersovereenkomst die wordt gebruikt om de juridische afspraken tussen een verwerkingsverantwoordelijke en een verwerker vast te leggen. Deze overeenkomst is verplicht onder de Algemene Verordening Gegevensbescherming (AVG) wanneer een organisatie persoonsgegevens laat verwerken door een externe partij.

Het template bevat standaard clausules en bepalingen die ervoor zorgen dat beide partijen voldoen aan de AVG-vereisten. Het beschrijft de aard en het doel van de gegevensverwerking, het type persoonsgegevens dat wordt verwerkt, de categorieën betrokkenen, en de rechten en plichten van beide partijen.

Belangrijkste elementen van een DPA Template

Een goed DPA Template bevat de volgende kerncomponenten:

  • Onderwerp en duur: Beschrijving van de verwerkingsactiviteiten en de looptijd van de overeenkomst
  • Aard en doel: Specificatie van waarom en hoe persoonsgegevens worden verwerkt
  • Type gegevens: Categorieën van persoonsgegevens die worden verwerkt (zoals NAW-gegevens, e-mailadressen, IP-adressen)
  • Beveiligingsmaatregelen: Technische en organisatorische maatregelen om gegevens te beschermen
  • Subverwerkers: Voorwaarden voor het inschakelen van onderaannemers
  • Rechten betrokkenen: Procedures voor het afhandelen van verzoeken van personen wiens gegevens worden verwerkt
  • Datalekken: Meldingsprocedures bij beveiligingsincidenten
  • Audits en controles: Rechten voor inspectie en verificatie van naleving

Wettelijke basis

De verplichting voor een verwerkersovereenkomst is vastgelegd in artikel 28 van de AVG. Dit artikel stelt dat verwerkingsverantwoordelijken alleen mogen werken met verwerkers die voldoende garanties bieden om passende technische en organisatorische maatregelen te implementeren. De verwerkersovereenkomst moet deze garanties schriftelijk vastleggen.

Zonder een geldige DPA riskeren organisaties boetes van toezichthouders zoals de Autoriteit Persoonsgegevens (AP), die kunnen oplopen tot 4% van de wereldwijde jaaromzet of €20 miljoen, afhankelijk van welk bedrag hoger is.

Toepassingen van DPA Templates

Zakelijke dienstverlening

DPA Templates worden veelvuldig gebruikt bij het inschakelen van externe dienstverleners die toegang hebben tot persoonsgegevens:

  • Cloudservices: Overeenkomsten met hostingproviders, SaaS-leveranciers en cloudopslagdiensten
  • Marketing automation: Platforms voor e-mailmarketing, CRM-systemen en analytics tools
  • Salarisadministratie: Externe bureaus die personeelsgegevens verwerken
  • IT-ondersteuning: Partijen die systeembeheer en onderhoud verzorgen met toegang tot databases
  • Klantenservice: Callcenters en helpdesk-diensten die klantgegevens behandelen

E-commerce en webshops

Voor online retailers zijn DPA's essentieel bij samenwerking met verschillende partijen:

  • Betalingsproviders: Mollie, Adyen, Stripe en andere payment processors
  • Verzendpartners: PostNL, DHL en andere logistieke dienstverleners
  • E-mailservices: Mailchimp, Klaviyo en andere marketingplatforms
  • Analytics: Google Analytics, Hotjar en andere analysetools
  • Reviews en ratings: Platforms voor klantbeoordelingen

Software en platformontwikkeling

Bij het ontwikkelen en onderhouden van digitale platforms zijn DPA's nodig voor:

  • Development teams: Externe ontwikkelaars die werken aan applicaties met gebruikersdata
  • Testing en QA: Partijen die kwaliteitscontroles uitvoeren met productiedata
  • API-integraties: Diensten die data uitwisselen via koppelingen
  • Database management: Externe beheerders van dataopslagsystemen

Marketing en advertentiediensten

Marketingbureaus en advertentieplatforms verwerken vaak persoonsgegevens:

  • Social media advertising: Meta, LinkedIn, TikTok en andere advertentieplatforms
  • Marketingbureaus: Externe partijen die campagnes beheren
  • Contentcreatie: Bureaus die werken met klant- of gebruikersdata voor personalisatie
  • A/B testing tools: Platforms voor conversie-optimalisatie

Standaardisatie en aanpassing

Hoewel DPA Templates standaardclausules bevatten, moeten ze vaak worden aangepast aan specifieke situaties:

  • Branchespecifieke eisen: Aanvullende vereisten voor sectoren zoals zorg, financiën of onderwijs
  • Internationale transfers: Extra waarborgen bij doorgifte van gegevens buiten de EU/EER
  • Bijzondere categorieën: Strengere voorwaarden bij verwerking van gevoelige gegevens
  • Bewaarperiodes: Specifieke termijnen voor verschillende soorten gegevens

Veelgestelde vragen

Een DPA is verplicht zodra een organisatie (verwerkingsverantwoordelijke) een externe partij (verwerker) inschakelt die persoonsgegevens verwerkt in opdracht. Dit geldt bijvoorbeeld bij het gebruik van cloudservices, marketingplatforms, salarisadministratie of hostingdiensten. De overeenkomst moet zijn afgesloten voordat de verwerker begint met het verwerken van de gegevens.

Uitzonderingen zijn situaties waarbij de externe partij zelfstandig verwerkingsverantwoordelijke is, of bij incidentele verwerking die geen structureel karakter heeft. In geval van twijfel is het verstandig altijd een DPA af te sluiten om juridische risico's te minimaliseren.

Een standaard DPA Template bevat generieke clausules die voldoen aan de minimale AVG-vereisten en is geschikt voor veel voorkomende verwerkingssituaties. Deze templates zijn vaak efficiënt en kostenbesparend, maar kunnen te algemeen zijn voor complexe verwerkingen.

Een op maat gemaakte verwerkersovereenkomst wordt specifiek opgesteld voor een bepaalde verwerkingssituatie en bevat:

  • Gedetailleerde beschrijvingen van specifieke verwerkingsactiviteiten
  • Branchespecifieke beveiligingseisen en compliance-verplichtingen
  • Aangepaste procedures voor internationale gegevensoverdracht
  • Specifieke SLA's en aansprakelijkheidsregelingen
  • Maatwerk voor bijzondere categorieën persoonsgegevens

Voor standaard diensten zoals e-mailmarketing of cloudopslag volstaat meestal een template, terwijl complexe verwerkingen zoals medische data of financiële informatie vaak maatwerk vereisen.

Een DPA moet worden herzien en geüpdatet wanneer zich relevante wijzigingen voordoen:

  • Wetswijzigingen: Bij aanpassingen in de AVG of nieuwe jurisprudentie (direct implementeren)
  • Dienstaanpassingen: Wanneer de aard of omvang van de verwerking wijzigt (voor implementatie nieuwe diensten)
  • Beveiligingsincidenten: Na datalekken kunnen aanvullende beveiligingsmaatregelen nodig zijn (binnen 30 dagen)
  • Nieuwe subverwerkers: Bij inschakeling van nieuwe onderaannemers (voor inschakeling)
  • Periodieke review: Minimaal jaarlijks controleren of de overeenkomst nog actueel is

Veel organisaties plannen een jaarlijkse compliance-audit waarbij alle DPA's worden gecontroleerd. Daarnaast is het verstandig om bij grote leveranciers te monitoren of zij updates van hun standaard DPA publiceren, en deze tijdig te implementeren.

Auteur & updates

Auteur: Wouter
Publicatiedatum: 16-02-2026
Laatste update: 16-02-2026