Wat is een verwerkersovereenkomst (DPA) onder AVG Art. 28?

Een verwerkersovereenkomst (Engels: Data Processing Agreement, DPA) is een verplicht schriftelijk contract tussen verwerkingsverantwoordelijke en verwerker (AVG Art. 28). Werkzaam met een verwerker zonder DPA = AVG-overtreding (Art. 83 lid 4, boete tot €10m / 2%). Verplichte inhoud (Art. 28 lid 3): (a) onderwerp + duur + aard + doel van verwerking, (b) types persoonsgegevens + categorieën betrokkenen, (c) verplichtingen + rechten van verwerkingsverantwoordelijke, (d) verwerker werkt alleen volgens instructie, (e) personeel onder geheimhouding, (f) beveiligingsmaatregelen (Art. 32), (g) sub-verwerkers alleen met goedkeuring, (h) hulp bij betrokkenenrechten (Art. 12-22), (i) hulp bij Art. 32-36 (beveiliging, datalek, DPIA), (j) na contracteinde: data wissen of terug, (k) audit-rechten + bewijslevering. Sub-verwerker: als de verwerker zelf weer een derde inschakelt (bv. AWS achter een SaaS), moet ER ÓÓK een DPA zijn én moet jij als controller daarvan op de hoogte zijn. SCCs: bij verwerker buiten EU (USA, UK, etc) plus DPA ook Standard Contractual Clauses voor de doorgifte. Praktisch voor MKB: grote SaaS-leveranciers (Google, Microsoft, HubSpot, Stripe) bieden standaard DPAs aan in hun account-portal — accepteer + onderteken. Veel kleinere leveranciers hebben er geen → vraag erom of switch. Tip voor consumenten: in een inzage-verzoek kun je vragen "lijst van alle verwerkers + sub-verwerkers" — als bedrijf dat niet kan leveren = waarschijnlijk geen DPAs.