Verwerkersovereenkomst (DPA) — sjabloon AVG Art. 28

Zie ons artikel Verwerkersovereenkomst (DPA). Verplichte inhoud DPA (AVG Art. 28 lid 3): (a) onderwerp + duur + aard + doel, (b) types data + categorieën, (c) verplichtingen + rechten controller, (d) verwerker werkt alleen op instructie, (e) personeel onder geheimhouding, (f) beveiliging (Art. 32), (g) sub-verwerkers met goedkeuring, (h) hulp bij betrokkenenrechten, (i) hulp bij beveiliging/datalek/DPIA, (j) data terug/wissen na contracteinde, (k) audit-rechten + bewijslevering. Sub-verwerker-aspect: als verwerker zelf een derde inschakelt (bv. AWS achter een SaaS), moet ER ÓÓK een DPA zijn én jij als controller moet daarvan op de hoogte. Schrems II-additie: bij verwerker buiten EU (USA, UK, etc) plus DPA ook SCC's + Transfer Impact Assessment voor de doorgifte. Voor MKB praktisch: grote SaaS-leveranciers (Google, Microsoft, HubSpot, Stripe) bieden standaard DPAs aan in hun account-portal — accepteer + onderteken. Voor kleinere leveranciers: vraag erom of switch. Standaard NL-templates: NBA (boekhouders), SIVON (onderwijs), Zorginstituut (zorg) hebben sector-specifieke DPAs gratis. Voor losse DPA: AP-template + ICTRecht open-source DPA als basis.