Verwerkersovereenkomst (DPA) — wat is het, wanneer nodig?

TL;DR Een verwerkersovereenkomst regelt afspraken tussen jou (verwerkingsverantwoordelijke) en een partij die data namens jou verwerkt (verwerker). Voor MKB sluit je 'm met: hosting, e-mailmarketing, CRM, analytics, betaalproviders, cloud-opslag. Niet met: je boekhouder, je accountant, je advocaat (zij zijn zelfstandig verantwoordelijk). De meeste grote partijen hebben een standaard-DPA klaar — accepteren is meestal één klik in de instellingen. Een ochtend werk voor een gemiddelde MKB.

Wat is een verwerkersovereenkomst?

Een DPA is een contract dat verplicht is op basis van artikel 28 AVG telkens als een derde partij persoonsgegevens namens jou verwerkt. "Namens jou" is de sleutel — als je Mailchimp gebruikt om jouw nieuwsbrief naar jouw klanten te sturen, verwerkt Mailchimp die data namens jou. Jij bepaalt het doel, zij voeren de techniek uit.

De DPA regelt zes dingen: welke data wordt verwerkt, voor welk doel, hoe lang, welke beveiliging de verwerker garandeert, welke sub-processors ze inschakelen, en hoe ze meewerken bij verzoeken van bezoekers of datalekken.

Met wie wél een DPA

Hosting — TransIP, Vimexx, Hostnet, Strato, Cloudways, AWS, DigitalOcean
E-mailmarketing — Mailchimp, ActiveCampaign, Brevo (Sendinblue), Mailerlite, Klaviyo
CRM — HubSpot, Pipedrive, Salesforce, Freshsales
Analytics — Google Analytics, Plausible, Matomo Cloud, Hotjar
Betaalproviders — Mollie, Stripe, PayPal, Buckaroo
Cloud-opslag — Google Drive, Dropbox, OneDrive (als je daar klantbestanden bewaart)
Form-tools — Typeform, Tally, Jotform, Calendly
Communicatie — Intercom, Crisp, Drift, Tawk.to
Webdesigner/bureau — als wij toegang hebben tot jouw klantformulier-data, hebben we een DPA met jou (DesignCheck doet dit standaard).

Met wie GEEN DPA

Niet elke partij waarmee je werkt is een "verwerker" in AVG-zin. Een DPA hoef je niet te sluiten met:

Je boekhouder of accountant — zelfstandig verantwoordelijk onder Wta.
Je advocaat of fiscalist — eigen beroepsgeheim, eigen verantwoordelijkheid.
Je bank — eigen wettelijke verplichtingen onder DNB/Wft.
PostNL, DHL, MyParcel als bezorgers — zij zijn co-verantwoordelijk maar geen "verwerker".
De Belastingdienst — wettelijke verplichting tot levering.

Onderscheid: een verwerker volgt jouw instructies en heeft geen eigen doel met de data. Een derde-partij verwerkt voor eigen doelen op basis van eigen wet of contract.

Hoe regel je het in een uur

Maak een lijst van alle tools waarin klantdata staat. Open je instellingen-paneel en kijk welke integraties actief zijn.
Zoek in elke tool de instellingen-pagina onder "Privacy", "Legal" of "Compliance". Bij Google heet het "Data Processing Amendment". Bij Mailchimp "GDPR DPA".
Accepteer de DPA — meestal één checkbox of één klik. Sla de bevestigings-PDF op.
Maak een map "AVG/DPA" in je drive met per leverancier de getekende of geaccepteerde versie.
Update je privacyverklaring met de lijst verwerkers.
Herhaal elk half jaar bij nieuwe tools.

De vraag bij een AVG-audit is niet of je een dik contract hebt — het is of je per verwerker kunt aantonen dat een DPA actief is. Een geordende map met 8 PDF's is genoeg.

Sub-processors — wat betekent dat?

Sub-processors zijn partijen die de verwerker zelf inhuurt. Bijvoorbeeld: jij gebruikt Mailchimp (verwerker), Mailchimp draait op AWS (sub-processor). De DPA moet vermelden welke sub-processors een verwerker mag inschakelen, en jou de mogelijkheid geven bezwaar te maken bij wijzigingen.

Voor MKB: belangrijk om te weten dat je sub-processors niet hoeft te tracken. Het is de verantwoordelijkheid van je verwerker om hun keten correct te houden. Wel goed om periodiek te checken dat ze die transparantie bieden.

Internationale doorgifte (VS-issue)

Veel populaire tools (Google, Mailchimp, HubSpot, Intercom) zitten in de VS. Sinds juli 2023 is er het EU-US Data Privacy Framework dat doorgifte naar gecertificeerde Amerikaanse bedrijven toelaat. Check of je verwerker op de officiële DPF-lijst staat (dpf.gov). Zo niet, dan moet de DPA aanvullende waarborgen bevatten (Standard Contractual Clauses). Voor de meeste grote SaaS-tools is dit standaard geregeld.

Voor de Google Analytics-specifieke discussie zie ons artikel Google Analytics + AVG 2026.

Veelgemaakte MKB-fouten

Geen DPA met de hosting-provider. TransIP/Vimexx hebben standaard-DPA's beschikbaar via support — niet automatisch actief. Even aanvragen.
DPA niet geupdatet bij tool-wisseling. Overgestapt van Mailchimp naar Brevo? Oude DPA archiveren, nieuwe accepteren.
Privacyverklaring vermeldt verwerkers niet. DPA hebben is stap één — bezoekers informeren is stap twee. Zie privacyverklaring-template.
DPA met een freelancer wordt overgeslagen. Een marketing-freelancer die jouw klantlijst beheert is een verwerker. Schriftelijk vastleggen.

Wat krijg je bij DesignCheck?

Bij elke Rebuild en Premium leveren wij een DPA-overzicht: een ingevulde spreadsheet met alle externe diensten die op je site draaien, hun DPA-status, en links naar de relevante pagina's bij elke leverancier. Plus we sluiten zelf een DPA met jou voor de periode dat we toegang hebben tot jouw klantdata.

DPA-overzicht standaard inbegrepen

DPA-spreadsheet met alle externe tools en hun status zit in elke Rebuild (€3.995) en Premium (€6.995). Zelf-DPA met DC altijd inbegrepen.

Volledig prijsoverzicht →

Volgende stappen

Zie het bredere AVG-plaatje in onze pillar-pagina. Voor het cookie-banner-deel: cookie-banner correct implementeren. Voor de Google Analytics-discussie: GA + AVG 2026. Wil je een overzicht voor jouw site? Vraag de gratis DesignCheck Audit. Of bekijk wat compliance-onzekerheid je kost via de verliescalculator. Lokale implementatie: webdesigner Mijdrecht.

FAQ — verwerkersovereenkomst

Is een verwerkersovereenkomst hetzelfde als een NDA?

Nee. Een NDA gaat over vertrouwelijkheid van zakelijke info. Een DPA gaat specifiek over de verwerking van persoonsgegevens en verplicht de verwerker tot beveiliging, sub-processor-transparantie en meewerking bij datalek-meldingen.

Wat als mijn leverancier geen DPA wil tekenen?

Dan ben je formeel niet compliant. Voor grote tools (Google, Mailchimp) is dit nooit een probleem — ze hebben standaard-DPA's. Voor lokale freelancers/bureaus is het soms onbekend; stuur ze een template van de AP of weiger samen te werken op datadiensten.

Geldt een DPA ook voor mijn boekhouder?

Je boekhouder is meestal géén verwerker maar een 'derde' met eigen wettelijke verantwoordelijkheid (Wta). Geen DPA nodig. Wel met je boekhoud-SOFTWARE (Moneybird, Exact).

Door Noah van Tilburg — DesignCheck (jurist/IP). Laatst bijgewerkt 16 mei 2026.

Verwerkersovereenkomst — wanneer nodig?