Verwerkersclausule (AVG) voorbeeld artikel

    Bijgewerkt: 25 maart 2026

    Let op: deze voorbeeldclausules zijn bedoeld als startpunt, niet als juridisch advies. Pas de tekst altijd aan op uw specifieke situatie en laat belangrijke contracten controleren door een jurist.

    Clausuletekst

    1. In het kader van deze overeenkomst verwerkt Verwerker persoonsgegevens uitsluitend ten behoeve van en in opdracht van Verwerkingsverantwoordelijke, overeenkomstig de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.

    2. De verwerking betreft de volgende categorieën persoonsgegevens: [opsomming, bijv. naam, e-mailadres, functie, contractgegevens] van de volgende categorieën betrokkenen: [opsomming, bijv. medewerkers, klanten, leverancierscontactpersonen]. De verwerking geschiedt voor de volgende doeleinden: [opsomming].

    3. Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder ten minste:
    a) versleuteling van persoonsgegevens bij opslag en transport;
    b) toegangsbeperking op basis van need-to-know;
    c) periodieke beveiligingsaudits en penetratietesten;
    d) een procedure voor het regelmatig testen en evalueren van de doeltreffendheid van de maatregelen.

    4. Verwerker schakelt geen subverwerker in zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker legt aan elke subverwerker ten minste dezelfde verplichtingen op als die in deze clausule zijn opgenomen.

    5. Verwerker meldt een datalek aan Verwerkingsverantwoordelijke binnen [aantal, bijv. 24] uur na ontdekking, met vermelding van de aard van het lek, de getroffen gegevens, de geschatte omvang en de genomen of voorgestelde maatregelen.

    6. Na beëindiging van deze overeenkomst zal Verwerker alle persoonsgegevens, naar keuze van Verwerkingsverantwoordelijke, retourneren of vernietigen binnen [aantal] werkdagen, en schriftelijk bevestigen dat geen kopieën zijn achtergehouden, tenzij opslag wettelijk verplicht is.

    Wat betekent deze clausule?

    Een verwerkersclausule regelt hoe een externe partij (de verwerker) omgaat met persoonsgegevens die zij namens uw organisatie verwerkt. De Algemene Verordening Gegevensbescherming (AVG, internationaal: GDPR) verplicht u om een verwerkersovereenkomst te sluiten met elke partij die namens u persoonsgegevens verwerkt. Zonder zo een overeenkomst riskeert u boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

    Het derde artikellid bevat concrete beveiligingsmaatregelen. De AVG schrijft "passende technische en organisatorische maatregelen" voor, maar laat de invulling bewust open. Door specifieke minimumvereisten op te nemen, creëert u een toetsbaar kader. Onderzoek van Ironclad (2025) toont aan dat 92% van alle fouten in contractbeheer menselijke fouten zijn. Een verwerkersclausule met vage beveiligingsafspraken vergroot het risico dat een datalek onnodig lang onopgemerkt blijft.

    Het zesde artikellid regelt de exit: na beëindiging van de samenwerking moeten gegevens worden teruggegeven of vernietigd. Zonder deze bepaling kunnen uw klantgegevens onbeperkt bij een ex-leverancier blijven liggen.

    Wanneer gebruik je deze clausule?

    Gebruik deze clausule in elke overeenkomst waarbij een externe partij persoonsgegevens namens u verwerkt. Denk aan cloudleveranciers, salarisadministrateurs, CRM-platforms, e-mailmarketingdiensten en contractbeheersoftware.

    De clausule kan als artikel in het hoofdcontract worden opgenomen of als bijlage (verwerkersovereenkomst). Volgens Loio (2026) wordt 71% van de contracten nooit gecontroleerd op naleving na ondertekening. Bij verwerkersovereenkomsten is dat riskant: de Autoriteit Persoonsgegevens controleert actief of organisaties hun verwerkers aansturen. Leg in uw contractbeheersysteem vast welke leveranciers persoonsgegevens verwerken en wanneer de beveiligingsmaatregelen voor het laatst zijn getoetst.

    Pas deze onderdelen aan

    • 1Pas de categorieën persoonsgegevens en betrokkenen aan op de daadwerkelijke gegevensstromen. Hoe specifieker, hoe beter.
    • 2Kies een datalekmeldingtermijn die korter is dan de wettelijke 72 uur richting de AP, zodat u tijd hebt om zelf te beoordelen en te melden.
    • 3Overweeg een recht op audit op te nemen, zodat u de beveiligingsmaatregelen van de verwerker periodiek kunt toetsen.
    • 4Bij internationale verwerkers: neem bepalingen op over doorgifte buiten de EER, inclusief de vereiste waarborgen (standaardcontractbepalingen of adequaatheidsbesluit).

    Bronnen

    Beheer al je contractdeadlines automatisch

    Tracking Contracts waarschuwt je ruim op tijd voor elke opzegtermijn. Geen Excel, geen gemiste verlengingen.

    Start gratis maand