Verwerkersovereenkomst website: gids artikel 28 AVG België
Steven | TrustYourWebsite · 12 juni 2026 · Laatst bijgewerkt: juni 2026
Als een externe dienst de persoonsgegevens van uw Belgische bezoekers of klanten verwerkt, moet u met die leverancier een schriftelijke verwerkersovereenkomst (in het Engels DPA, data processing agreement) sluiten vóór de verwerking begint. Dat is de regel van artikel 28 AVG, in België rechtstreeks afdwingbaar via de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
De Belgische toezichthouder is de Gegevensbeschermingsautoriteit (GBA), in het Frans Autorité de protection des données (APD). Zij onderzoekt ontbrekende verwerkersovereenkomsten als onderdeel van bredere onderzoeken en beschouwt het ontbreken van een schriftelijk contract als verzwarende factor wanneer een datalek of klacht een verwerker betreft.
Wilt u zien welke externe diensten uw site laadt en welke daarvan een verwerkersovereenkomst vereisen? Voer gratis een scan uit op uw website.
Verwerkingsverantwoordelijke, verwerker en de Wet van 30 juli 2018
Het verwerkerskader van de AVG steunt op twee rollen.
U bent de verwerkingsverantwoordelijke wanneer u beslist waarom persoonsgegevens worden verzameld en hoe ze worden gebruikt. De klantnamen, e-mailadressen en bestelgeschiedenis op uw Belgische webshop horen bij u als verantwoordelijke.
Een derde partij is een verwerker wanneer zij persoonsgegevens uitsluitend op uw gedocumenteerde instructies verwerkt. Een verwerker hergebruikt de gegevens niet voor eigen doeleinden. Hij handelt namens u.
België voerde de AVG uit via de Wet van 30 juli 2018, die volledig aansluit bij artikel 28. De GBA heeft duidelijk gemaakt dat deze verplichting evenzeer geldt voor Belgische KMO's als voor grote organisaties.
De kwalificatie bepaalt uw verplichtingen:
| Rol | Voorbeeld in een Belgische KMO-context | Schriftelijk contract vereist |
|---|---|---|
| Verwerkingsverantwoordelijke (u) | Uw Belgische webshop of adviesbureau | N.v.t. |
| Verwerker | Mailchimp, Mollie, uw Belgische hostingprovider | Ja, een verwerkersovereenkomst volgens artikel 28 |
| Subverwerker | AWS dat de infrastructuur van Mailchimp host | Ja, de verwerker tekent met de subverwerker |
| Zelfstandige verantwoordelijke | Facebook voor zijn eigen advertentietargeting | Nee. Wel vermelden in uw privacyverklaring |
Diensten die op een Belgische website doorgaans een verwerkersovereenkomst vereisen
De volgende tabel geldt voor een typische Belgische KMO met een webshop, een site voor professionele diensten of een horecazaak.
| Dienstcategorie | Verwerker? | Gangbare Belgische of Europese voorbeelden |
|---|---|---|
| Webhosting | Ja | OVHcloud, Combell, Kinsta |
| CDN | Ja | Cloudflare, AWS CloudFront |
| Analytics | Ja | Google Analytics, Plausible, Matomo Cloud |
| E-mailmarketing | Ja | Mailchimp, Brevo, MailerLite |
| Transactionele e-mail | Ja | Brevo, Postmark, AWS SES |
| Betaalprovider | Ja (ook zelfstandige verantwoordelijke voor fraude) | Mollie, Stripe, Adyen |
| CRM | Ja | HubSpot, Pipedrive |
| Boekings- of reserveringssysteem | Ja | OpenTable, TheFork, Bookingkit |
| Supportchat | Ja | Crisp, Intercom |
| Boekhouder met systeemtoegang | Ja | Uw Belgische boekhouder of accountant |
| IT-support met beheerderstoegang | Ja | Uw managed service provider |
| Facebook Pixel | Zelfstandige verantwoordelijke | Geen verwerkersovereenkomst. Toestemming vereist. Vermelden in privacyverklaring |
| Bezorgpartner | Zelfstandige verantwoordelijke | Geen verwerkersovereenkomst. Vermelden in privacyverklaring |
De rij over de boekhouder is belangrijk voor Belgische KMO's. Als uw boekhouder of accountant toegang heeft tot uw onlinesystemen en daar klant- of personeelsgegevens verwerkt, verwerkt hij namens u. Een verwerkersovereenkomst is vereist, los van de bestaande professionele relatie.
Wat de verwerkersovereenkomst moet dekken: checklist artikel 28, lid 3
Een conforme verwerkersovereenkomst moet alle acht onderwerpen behandelen die artikel 28, lid 3, AVG opsomt. Leverancierscontracten waarin een van deze punten ontbreekt, zijn niet conform. De tabel hieronder koppelt elke vereiste aan wat u moet controleren.
| Verplicht onderwerp | In gewone taal | Wat u controleert in de overeenkomst |
|---|---|---|
| Onderwerp en duur | Welke gegevens worden verwerkt en hoe lang de relatie duurt | Expliciete beschrijving en een looptijd- of beëindigingsclausule |
| Aard en doel | Wat de verwerker doet en waarom | Verwerkingsactiviteiten opgesomd, reikwijdte afgebakend |
| Soort gegevens en betrokkenen | Categorieën van gegevens en personen | Klanten, medewerkers, leads. Gegevenstypes opgesomd |
| Verplichtingen en rechten van de verantwoordelijke | Wat u de verwerker mag opdragen | Instructierecht, auditrecht, recht op melding van datalekken |
| Alleen gedocumenteerde instructies | De verwerker handelt enkel op uw instructies | Expliciete clausule die ook internationale doorgiften dekt |
| Vertrouwelijkheid en beveiliging | Personeel gebonden aan vertrouwelijkheid, maatregelen van artikel 32 | Vertrouwelijkheidsclausule en bijlage met technische en organisatorische maatregelen |
| Controle op subverwerkers | Voorafgaande toestemming, back-to-back verplichtingen | Toestemmingsmechanisme en melding van wijzigingen |
| Bijstand en einde van het contract | Hulp bij rechten van betrokkenen, wissen of teruggave | Teruggave-of-wissenclausule en bijstand bij rechtenverzoeken |
Als u elk van deze punten niet kunt terugvinden in de verwerkersovereenkomst die u heeft geaccepteerd, heeft u geen conforme verwerkersovereenkomst.
Waar u verwerkersovereenkomsten vindt voor gangbare diensten in België
De meeste grote SaaS-platformen bieden een standaard verwerkersovereenkomst aan. U accepteert die in de accountinstellingen of via een klik-om-te-accepteren-flow. De acceptatie is uw bewijs van naleving. Archiveer ze op een plaats die personeelswissels overleeft.
| Leverancier | Waar accepteren | Hoe de acceptatie wordt vastgelegd |
|---|---|---|
| Google Analytics / Workspace | Google-accountinstellingen, sectie Data Processing Terms | Met tijdstempel in de beheerdersconsole |
| Mailchimp | Compliancepagina in het gebruikersportaal | Klik-om-te-accepteren met e-mailbevestiging |
| Mollie | Handelarenportaal onder instellingen | Geaccepteerd als onderdeel van de handelaarsvoorwaarden |
| Stripe | Dashboard onder Settings > Compliance | Van kracht bij acceptatie, gelogd in het dashboard |
| Cloudflare | Serviceovereenkomst of offline voor enterprise | Gedateerd in het account of ondertekende pdf |
| Brevo | Accountinstellingen, sectie juridische documenten | Klik-om-te-accepteren, downloadbare pdf |
| Combell / OVHcloud | Inbegrepen in de hostingovereenkomst | Onderdeel van het ondertekende hostingcontract |
Heeft een leverancier geen verwerkersovereenkomst terwijl hij namens u persoonsgegevens verwerkt, dan kan die leverancier niet rechtmatig worden gebruikt voor Belgische klantgegevens. Vervang de leverancier of stop met persoonsgegevens naar hem te sturen.
GBA-handhaving op artikel 28
De GBA legt doorgaans geen boete op voor uitsluitend een ontbrekende verwerkersovereenkomst. Zij behandelt het ontbreken van een schriftelijk verwerkerscontract wel als verzwarende factor in elk onderzoek waarin een verwerker een rol speelt. Twee patronen zijn relevant voor Belgische KMO's.
Ten eerste verwijzen de gepubliceerde richtsnoeren van de GBA over rechten van betrokkenen en de melding van datalekken regelmatig naar de verplichting om een verwerkerscontract te hebben vóór de verwerking begint. Zie het publicatieportaal van de GBA voor de actuele richtsnoeren.
Ten tweede heeft de GBA Belgische organisaties onderzocht waar een verwerkergerelateerd datalek plaatsvond zonder dat er een verwerkersovereenkomst was. In die dossiers werd het ontbreken van het artikel 28-contract als afzonderlijke vaststelling genoteerd, naast het onderliggende datalek of beveiligingsfalen. U kunt dus twee overtredingen oplopen voor één incident.
De Franstalige kant van de toezichthouder (de APD, Autorité de protection des données) hanteert hetzelfde handhavingskader. Zie het publicatieportaal van de APD voor Franstalige richtsnoeren over verwerkersverplichtingen.
Internationale doorgiften en Belgische verwerkers
Zijn sommige van uw verwerkers buiten de EER gevestigd, dan moet u ook het mechanisme voor internationale doorgifte regelen in de verwerkersovereenkomst. De opties voor Belgische verwerkingsverantwoordelijken zijn dezelfde als voor alle Europese verantwoordelijken.
Voor verwerkers buiten de EER is het relevante instrument Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021, dat standaardcontractbepalingen voor internationale doorgiften bevat. Die bepalingen worden als bijlage aan de verwerkersovereenkomst gehecht wanneer de verwerker in een derde land zoals de Verenigde Staten zit.
Voor contracten tussen verwerkingsverantwoordelijke en verwerker binnen de EER biedt Uitvoeringsbesluit (EU) 2021/915 van de Commissie van 4 juni 2021 een kant-en-klaar sjabloon dat voldoet aan artikel 28, lid 3. Beide besluiten zijn verschillend. Het sjabloon 2021/915 dekt de verwerkersovereenkomst zelf. De bepalingen van 2021/914 dekken de internationale doorgifte.
De meeste grote Amerikaanse SaaS-leveranciers (Mailchimp, Stripe, Google) combineren beide instrumenten in één document. Controleer of de verwerkersovereenkomst die u accepteert het doorgiftemechanisme expliciet vermeldt wanneer de datacenters van de leverancier buiten de EER liggen.
Subverwerkers in de Belgische context
Artikel 28, lid 2, vereist uw schriftelijke toestemming voordat een verwerker een subverwerker inschakelt. De meeste leverancierscontracten werken met een algemeen toestemmingsmodel: u keurt de huidige subverwerkerslijst goed en stemt in met een meldtermijn voor nieuwe toevoegingen.
Voor Belgische KMO's zijn dit de praktische stappen:
- Vraag bij elke leverancier de subverwerkerslijst op bij de onboarding
- Noteer of een subverwerker buiten de EER is gevestigd en welk doorgiftemechanisme geldt
- Abonneer u op meldingen van wijzigingen in subverwerkers waar dat kan
- Werk uw verwerkingsregister (register van verwerkingsactiviteiten volgens artikel 30) bij wanneer subverwerkers veranderen
De subverwerkersverplichting vervalt niet omdat u een bekende leverancier gebruikt. Mailchimp gebruikt AWS. Google Workspace gebruikt de wereldwijde infrastructuur van Google zelf. Mollie gebruikt externe betaalnetwerken. Elk van deze relaties hoort in de subverwerkerslijst van de leverancier te staan.
Praktische stappen voor Belgische KMO's
- Inventariseer elke externe dienst die persoonsgegevens van uw site ontvangt of raadpleegt
- Kwalificeer elke dienst als verwerker, zelfstandige verantwoordelijke of gezamenlijke verantwoordelijke
- Zoek de verwerkersovereenkomst op op de juridische of compliancepagina van de leverancier
- Accepteer of onderteken de overeenkomst en archiveer de bevestiging met datum
- Controleer de acht onderwerpen van artikel 28, lid 3 met de tabel hierboven
- Noteer het internationale doorgiftemechanisme wanneer de leverancier buiten de EER zit
- Voeg de verwerker toe aan uw verwerkingsregister en uw privacyverklaring
- Herzie jaarlijks en na elke leverancierswissel
Voor het volledige plaatje van uw Belgische AVG-verplichtingen behandelt de GDPR-checklist voor Belgische KMO's cookies, privacyverklaring, wettelijke vermeldingen en verwerkersovereenkomsten samen. De gids over de privacyverklaring voor België met voorbeeld legt uit hoe u uw verwerkers aan bezoekers bekendmaakt.
Finale checklist verwerkersovereenkomst België
- Elke externe dienst die persoonsgegevens raakt, staat op de lijst
- Met elke verwerker is een schriftelijke verwerkersovereenkomst gesloten vóór de verwerking begint
- Elke overeenkomst dekt alle acht onderwerpen van artikel 28, lid 3
- Het bewijs van acceptatie is gearchiveerd en terugvindbaar
- De subverwerkerslijst is actueel en weerspiegeld in uw verwerkingsregister
- Het internationale doorgiftemechanisme is genoteerd voor elke verwerker buiten de EER
- De herziening van de overeenkomsten is minstens jaarlijks ingepland
- Nieuwe leveranciers worden vóór integratie beoordeeld op een conforme verwerkersovereenkomst
Veelgestelde vragen
Welke diensten op mijn Belgische website hebben een verwerkersovereenkomst nodig?
Elke externe dienst die namens u persoonsgegevens verwerkt, heeft een schriftelijke verwerkersovereenkomst nodig volgens artikel 28 AVG. Dat geldt voor uw hostingprovider, analyticstool, e-mailmarketingplatform, CRM en betaalprovider. De GBA (Gegevensbeschermingsautoriteit) beschouwt een ontbrekende verwerkersovereenkomst als een zelfstandige schending van artikel 28.
Wat is de Belgische term voor een data processing agreement?
In het Nederlands heet het contract een verwerkersovereenkomst. In het Frans is het een contrat de sous-traitance des données. De toezichthouder in België is de GBA (Gegevensbeschermingsautoriteit) of APD (Autorité de protection des données). Beide namen verwijzen naar hetzelfde orgaan.
Handhaaft de GBA op ontbrekende verwerkersovereenkomsten onder artikel 28?
Ja. De GBA onderzoekt ontbrekende verwerkersovereenkomsten als onderdeel van bredere AVG-onderzoeken. Onder de Belgische Wet van 30 juli 2018 die de AVG uitvoert, is artikel 28 volledig van toepassing. Een ontbrekende verwerkersovereenkomst geldt als verzwarende factor wanneer een datalek of klacht een verwerker betreft.
Mag ik de standaardcontractbepalingen van de EU gebruiken voor mijn Belgische verwerkers?
Ja. Uitvoeringsbesluit 2021/914 van de Commissie van 4 juni 2021 bevat standaardcontractbepalingen voor internationale doorgiften van gegevens. Voor contracten tussen verwerkingsverantwoordelijke en verwerker binnen de EER biedt Uitvoeringsbesluit 2021/915 van de Commissie van 4 juni 2021 een sjabloon dat voldoet aan artikel 28, lid 3. Belgische verwerkingsverantwoordelijken kunnen beide als basis voor een verwerkersovereenkomst gebruiken.
Vereist Mollie een verwerkersovereenkomst voor Belgische handelaars?
Ja. Mollie verwerkt namens u betaal- en persoonsgegevens en biedt een standaard verwerkersovereenkomst aan via het handelarenportaal. Belgische handelaars accepteren die best vóór de livegang. Mollie heeft bovendien een verwerkingsinfrastructuur in de EU, wat relevant is voor de Belgische AVG-verplichtingen.
Controleer uw website in 60 seconden
Onze scanner detecteert automatisch welke externe diensten uw site werkelijk laadt: analytics, pixels, CDN's, chattools en meer. Zo heeft u meteen de startlijst voor uw verwerkersinventaris.
Voer gratis een scan uit op uw website →
Bronnen
- Verordening (EU) 2016/679, AVG (eur-lex.europa.eu)
- Uitvoeringsbesluit (EU) 2021/914 van de Commissie, standaardcontractbepalingen voor doorgiften (eur-lex.europa.eu)
- Uitvoeringsbesluit (EU) 2021/915 van de Commissie, standaardbepalingen artikel 28 (eur-lex.europa.eu)
- Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ejustice.just.fgov.be)
- GBA, Gegevensbeschermingsautoriteit, professioneel (gegevensbeschermingsautoriteit.be)
- APD, thema's voor professionals, verwerkers (autoriteprotectiondonnees.be)
Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Gratis scan starten