Data Processing Agreement (DPA)

Gegevensverwerkingsovereenkomst, Verwerkersovereenkomst, DPA, Data Processing Addendum, Bewerkersovereenkomst, Gegevensverwerkingscontract, Processor Agreement, Verwerkingsovereenkomst
Een Data Processing Agreement (DPA) is een juridisch contract tussen een verwerkingsverantwoordelijke en verwerker dat de voorwaarden vastlegt voor het verwerken van persoonsgegevens conform de AVG.
Privacy & Compliance

Wat is een Data Processing Agreement (DPA)?

Een Data Processing Agreement (DPA), ook wel verwerkersovereenkomst genoemd, is een wettelijk verplicht contract tussen een verwerkingsverantwoordelijke (controller) en een verwerker (processor) dat de verwerking van persoonsgegevens regelt. Deze overeenkomst is vereist onder de Algemene Verordening Gegevensbescherming (AVG) wanneer een organisatie persoonsgegevens laat verwerken door een externe partij.

De DPA beschermt de rechten van betrokkenen en zorgt ervoor dat beide partijen hun verantwoordelijkheden kennen bij het verwerken van persoonsgegevens. Het document specificeert onder meer het doel van de gegevensverwerking, de duur, de aard van de verwerking en de categorieën van betrokkenen en persoonsgegevens.

Kernonderdelen van een DPA

Een complete Data Processing Agreement bevat minimaal de volgende elementen:

  • Onderwerp en duur: Beschrijving van de verwerkingsactiviteiten en de looptijd van de overeenkomst
  • Aard en doel: Specificatie van waarom en hoe persoonsgegevens worden verwerkt
  • Type persoonsgegevens: Categorieën van gegevens die worden verwerkt (bijvoorbeeld contactgegevens, financiële data)
  • Categorieën betrokkenen: Wie de personen zijn van wie gegevens worden verwerkt (klanten, medewerkers, bezoekers)
  • Verplichtingen van de verwerker: Beveiligingsmaatregelen, vertrouwelijkheid, ondersteuning bij datalekken
  • Rechten en plichten: Auditrechten, instructierecht, meldingsplichten
  • Subverwerkers: Voorwaarden voor het inschakelen van derden

Wettelijke basis

De verplichting tot het afsluiten van een DPA is vastgelegd in artikel 28 van de AVG. Deze wetgeving schrijft voor dat verwerkingsverantwoordelijken alleen mogen werken met verwerkers die voldoende garanties bieden om technische en organisatorische maatregelen te implementeren die voldoen aan de AVG-vereisten.

Het ontbreken van een DPA kan leiden tot significante boetes van de Autoriteit Persoonsgegevens (AP) tot 4% van de jaaromzet of €20 miljoen, afhankelijk van welk bedrag hoger is.

Toepassingen van een Data Processing Agreement

Webhosting en cloudservices

Wanneer je website of webshop wordt gehost bij een externe partij, verwerkt deze hostingprovider persoonsgegevens van jouw bezoekers en klanten. Denk aan IP-adressen, logbestanden en mogelijk ook klantgegevens. Een DPA met je hostingprovider is dan verplicht om te voldoen aan de AVG.

Ook bij het gebruik van cloudopslagdiensten zoals Google Drive, Dropbox of Microsoft OneDrive voor bedrijfsgegevens die persoonsgegevens bevatten, is een DPA noodzakelijk.

Marketing- en analysetools

Vrijwel alle online marketingactiviteiten vereisen een DPA:

  • E-mailmarketingplatforms: Tools zoals Mailchimp, ActiveCampaign of Klaviyo verwerken contactgegevens van je mailinglijst
  • Analytics software: Google Analytics, Hotjar of Matomo verzamelen gebruikersgegevens en gedragsinformatie
  • CRM-systemen: Salesforce, HubSpot of andere CRM-platforms bewaren klantinformatie
  • Social media advertising: Bij het gebruik van Facebook Ads, LinkedIn Ads of Google Ads worden doelgroepgegevens verwerkt

E-commerce en betalingsverwerking

Voor webshops zijn DPA's essentieel bij samenwerking met:

  • Betalingsproviders: Mollie, Stripe, Adyen of PayPal verwerken financiële en persoonlijke gegevens van klanten
  • Verzendpartners: PostNL, DHL of andere logistieke partners ontvangen naam- en adresgegevens
  • E-commerce platforms: Shopify, WooCommerce hosting of andere platforms die klantdata beheren
  • Dropshipping suppliers: Leveranciers die rechtstreeks naar klanten verzenden

HR en salarisadministratie

Organisaties die externe partijen inschakelen voor personeelszaken hebben DPA's nodig met:

  • Salarisadministratiekantoren
  • Werving- en selectiebureaus
  • HR-software providers
  • Pensioenuitvoerders

Ontwikkeling en onderhoud

Wanneer externe ontwikkelaars, agencies of freelancers toegang hebben tot systemen met persoonsgegevens, bijvoorbeeld voor:

  • Website- of app-ontwikkeling
  • Technisch onderhoud en support
  • Database-optimalisatie
  • Security audits

Ook in deze gevallen is een DPA vereist om de verwerking van persoonsgegevens juridisch correct te regelen.

Klantenservice en support

Bij uitbesteding van klantenservice aan externe callcenters of het gebruik van chatbot-platforms die persoonsgegevens verwerken, moet eveneens een DPA worden afgesloten. Dit geldt ook voor ticketing-systemen en helpdesk-software.

Veelgestelde vragen

Een DPA is verplicht wanneer je als verwerkingsverantwoordelijke een externe partij (verwerker) inschakelt die in jouw opdracht persoonsgegevens verwerkt. Dit geldt voor vrijwel alle externe dienstverleners die toegang hebben tot persoonsgegevens, zoals hostingproviders, marketingtools, CRM-systemen, betalingsproviders en analytics-platforms.

De verplichting geldt zodra er sprake is van persoonsgegevens volgens de AVG-definitie: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Denk aan namen, e-mailadressen, IP-adressen, maar ook indirecte identificatoren.

Let op: Ook bij gratis diensten of tools is een DPA verplicht als deze persoonsgegevens verwerken. Het ontbreken van een DPA is een overtreding van de AVG en kan leiden tot boetes.

De verwerkingsverantwoordelijke (controller) is de partij die het doel en de middelen van de gegevensverwerking bepaalt. Dit is meestal jouw eigen organisatie. Je beslist waarom en hoe persoonsgegevens worden verzameld en gebruikt.

De verwerker (processor) is de externe partij die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerker mag alleen handelen volgens de instructies van de verwerkingsverantwoordelijke en heeft geen eigen doeleinden voor de gegevensverwerking.

Voorbeeld: Als je een webshop hebt, ben jij de verwerkingsverantwoordelijke voor klantgegevens. Je hostingprovider, e-mailmarketingtool en betalingsprovider zijn verwerkers die in jouw opdracht deze gegevens verwerken. Met elk van deze partijen heb je een DPA nodig.

Een AVG-conforme DPA moet aan de eisen van artikel 28 AVG voldoen. Controleer of je DPA de volgende elementen bevat:

  • Duidelijke omschrijving: Onderwerp, duur, aard en doel van de verwerking zijn specifiek beschreven
  • Gegevenscategorieën: Welke types persoonsgegevens worden verwerkt en van welke groepen betrokkenen
  • Instructierecht: De verwerker mag alleen handelen op basis van gedocumenteerde instructies
  • Vertrouwelijkheid: Medewerkers van de verwerker zijn gebonden aan geheimhouding
  • Beveiligingsmaatregelen: Technische en organisatorische maatregelen zijn gespecificeerd
  • Subverwerkers: Voorwaarden voor het inschakelen van andere verwerkers
  • Ondersteuning: Verplichtingen bij het afhandelen van verzoeken van betrokkenen en datalekken
  • Auditrechten: Je hebt het recht om de naleving te controleren
  • Verwijdering: Afspraken over verwijdering of retournering van gegevens na beëindiging

Veel gerenommeerde dienstverleners bieden standaard DPA's aan die AVG-compliant zijn. Laat bij twijfel je DPA controleren door een privacy-jurist of functionaris gegevensbescherming (FG).

Auteur & updates

Auteur: Wouter
Publicatiedatum: 16-02-2026
Laatste update: 16-02-2026