MyCompanyDesk / Gratis tools / Contracten / Verwerkersovereenkomst
Gratis · Conform art. 28 AVG · Met datalek-protocol

Verwerkersovereenkomst maken, AVG-conform in 5 minuten.

Een verwerkersovereenkomst die voldoet aan artikel 28 AVG. Verplicht wanneer jij persoonsgegevens verwerkt namens een klant, of zelf een verwerker inschakelt.

Gratis sjabloon, naar Nederlands recht.
verwerker-2026-031.pdf · MyCompanyDesk · Verwerkersovereenkomst · AVG art. 28
Live
1 Verwerkings­verantwoordelijke
2 Verwerker
3 Verwerking
4 Extra clausules
Sub-verwerkers toegestaan
Met voorafgaande schriftelijke toestemming en gelijke voorwaarden.
Encryptie verplicht
Gegevens in rust en transit altijd versleuteld.
Doorgifte buiten EU
Alleen met passende waarborgen (SCC, adequaatheidsbesluit).
Verstuur ter ondertekening
Verplicht onder de AVG bij verwerking namens een derde partij. Controleer de tekst zelf; dit is geen juridisch advies.
Concept
Verwerkersovereenkomst

Verwerkersovereenkomst, art. 28 AVG

verwerker-2026-031 · 21 mei 2026
Verwerkings­verantwoordelijke
Zorgcentrum De Linde
KvK 40291835 · Apeldoorn
Verwerker
CodeCraft B.V.
KvK 73914082 · Utrecht
In overweging nemende dat verwerker in opdracht van de verantwoordelijke persoonsgegevens verwerkt, en partijen overeenkomstig artikel 28 AVG afspraken vastleggen over deze verwerking.

Art. 1 Onderwerp & doel

Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van verantwoordelijke, ten behoeve van: het beheren en versturen van afspraakherinneringen.

Art. 2 Categorieën gegevens

De volgende categorieën persoonsgegevens worden verwerkt: naam, telefoonnummer, e-mailadres en afspraakdatum.

Art. 3 Bewaartermijn

Persoonsgegevens worden bewaard gedurende 1 jaar na afspraak, waarna ze worden gewist of geanonimiseerd.

Art. 4 Beveiligings­maatregelen

Verwerker treft passende technische en organisatorische maatregelen, waaronder encryptie van gegevens in rust en in transit, toegangscontrole op basis van rolprofielen en periodieke audits.

Art. 5 Sub-verwerkers

Inschakeling van een sub-verwerker geschiedt slechts na voorafgaande schriftelijke toestemming, waarbij verwerker dezelfde verplichtingen oplegt als in deze overeenkomst zijn opgenomen.

Art. 6 Datalekken

Verwerker meldt een (vermoeden van) datalek aan verantwoordelijke binnen 48 uur na ontdekking, vergezeld van alle relevante informatie om aan de meldplicht aan de AP te voldoen.

Art. 8 Beëindiging

Bij einde van de overeenkomst worden alle persoonsgegevens en kopieën gewist of teruggegeven, naar keuze van verantwoordelijke.

Zorgcentrum De Linde
Datum: / / 2026
CodeCraft B.V.
Datum: 18 / 05 / 2026
Voldoet aan
AVG art. 28 GDPR AP (Autoriteit Persoonsgegevens) EU SCC NEN 7510 ISO 27001
Wanneer is dit verplicht?

Drie situaties waarin de AVG een verwerkers­overeenkomst eist.

Onder de AVG (art. 28) is een verwerkersovereenkomst verplicht zodra een externe partij persoonsgegevens verwerkt namens een ander. Zonder zo'n overeenkomst loop je beide risico.

SaaS-platform

Software waar klantdata in zit

Heb je een SaaS-platform en verwerken jouw klanten daarin persoonsgegevens? Dan ben jij verwerker en moet je een verwerkersovereenkomst kunnen overleggen.

Voor: SaaS-aanbieders, app-developers, agencies
Marketing-bureau

Met toegang tot CRM of klantenlijst

Voer je e-mailcampagnes uit op basis van een klantenbestand van je opdrachtgever? Dan verwerk je hun gegevens, overeenkomst verplicht.

Voor: marketing-agencies, e-mailspecialisten
Freelance dev

Bouw je iets met klantdata?

Een webshop, CRM-koppeling, een dashboard met klantgegevens, zodra je toegang hebt of bouwt, ben je verwerker. Een verwerkersovereenkomst voorkomt boetes voor beide partijen.

Voor: freelance devs, IT-consultants
Zo werkt het

Van leeg sjabloon naar AVG-conform contract.

1

Beschrijf de verwerking

Wat verwerk je, voor wie, en met welk doel? Concreet, niet 'alle technische data'.

Doel: SMS-herinneringen
Gegevens: naam, tel, datum
Bewaartermijn: 1 jaar
2

Stel beveiliging en doorgifte in

Encryptie, sub-verwerkers, internationale doorgifte, vink wat van toepassing is.

✓ Encryptie
✓ Sub-verwerkers (met akkoord)
Doorgifte EU: uit
3

Verstuur ter ondertekening

Eén klik, beide DPO's tekenen. Bewaar in je verwerkingsregister voor AP-audits.

✓ Verzonden · 18 mei
✓ Getekend · 19 mei
✓ Gearchiveerd in register
Art. 28 AVG

Wat moet er minimaal in een verwerkers­overeenkomst staan?

Artikel 28 AVG schrijft acht punten verplicht voor. Ontbreekt er één, dan voldoet de overeenkomst niet en kan de AP boetes opleggen.

01

Onderwerp, duur en aard

Wat wordt verwerkt, voor hoe lang, en met welk doel. Specifiek genoeg om geen ruimte voor interpretatie te laten.

02

Categorieën van betrokkenen en gegevens

Wie zijn de personen wiens data wordt verwerkt, en welke soort gegevens (gewone, gevoelige, bijzondere).

03

Schriftelijke instructies

Verwerker handelt uitsluitend op basis van schriftelijke instructies van de verantwoordelijke.

04

Geheimhoudingsplicht

Iedereen die toegang heeft tot de gegevens is gebonden aan geheimhouding.

05

Beveiligings­maatregelen (art. 32)

Encryptie, toegangscontrole, periodieke testen, passend bij het risico.

06

Sub-verwerkers (art. 28 lid 2)

Schriftelijke toestemming verantwoordelijke; sub-verwerker krijgt dezelfde verplichtingen.

07

Audit-recht voor verantwoordelijke

De klant mag controleren of verwerker de afspraken nakomt, eventueel via een externe auditor.

08

Datalekken en hulp bij verzoeken

Snelle melding van datalekken; assistentie bij verzoeken van betrokkenen (inzage, verwijdering, etc.).

Belangrijk: bij datalekken geldt voor de verantwoordelijke een meldplicht aan de AP binnen 72 uur. De verwerker moet dus eerder melden (24–48 uur) om de klant op tijd te laten reageren. Stel de termijn realistisch in.
Veelgestelde vragen

Verwerkersovereenkomst, alles wat je moet weten.

De verantwoordelijke (controller) bepaalt het doel en de middelen van de verwerking, vaak de klant. De verwerker (processor) voert de verwerking uit in opdracht, vaak de leverancier. Als jij beslist over de data ben je verantwoordelijke; als je in opdracht handelt ben je verwerker.
Altijd wanneer een externe partij persoonsgegevens verwerkt namens een ander. Dus bij elke externe SaaS, hostingpartij, marketing-bureau of freelance developer met toegang. Zonder is beide partijen in overtreding van art. 28 AVG.
Ja. 'DPA' (Data Processing Agreement) is de Engelse term, verwerkersovereenkomst de Nederlandse. Bij internationale leveranciers heet hij vaak DPA, met identieke juridische werking.
De AP kan boetes opleggen tot € 10 miljoen of 2% van de jaarlijkse wereldwijde omzet, afhankelijk van wat hoger is. Bij ernstige overtredingen (zoals datalekken) kan dit oplopen tot 4% of € 20 miljoen.
Niet zonder generieke of specifieke toestemming. Onze sjabloon hanteert standaard 'voorafgaande schriftelijke toestemming'. Alternatief is 'algemene toestemming met meldplicht bij wijziging'.
Doorgifte naar landen zonder adequaatheidsbesluit (zoals VS, India) is alleen toegestaan met aanvullende waarborgen, meestal de Standard Contractual Clauses (SCC). Onze sjabloon heeft daar een toggle voor.

Klaar voor je AVG-conforme overeenkomst?

Vul de verwerking en categorieën in. Eén klik en hij is verstuurd. Voldoet aan art. 28 AVG, geen audit-stress meer.

Gratis opstellen Bekijk voorbeeld-PDF
  • Conform AVG art. 28
  • Met datalek-protocol
  • EU-doorgifte regelt
  • Geen creditcard

Andere contract-sjablonen

Modelovereenkomst Belastingdienst-conform · ZZP Geheimhoudingsverklaring Eenzijdig of wederzijds Freelance-opdracht Snelle opdrachtbevestiging Algemene voorwaarden Voor ZZP en MKB Huurovereenkomst Bedrijfsruimte of apparatuur Koop / verkoop Roerende zaken Vaststellingsovereenkomst Bij beëindiging samenwerking Samenwerkingsovereenkomst Voor partners of joint-ventures Alle 9 sjablonen Bekijk het volledige overzicht

Eén tip per week voor zelfstandigen.

Tips over privacy, AVG en contracten. Wat ik leer van het runnen van MyCompanyDesk, in één korte mail per week. Geen spam.

Bevestiging via e-mail. Uitschrijven met één klik in elke mail. Zie privacybeleid.