Landspecifieke juridische inhoud
Opgesteld met juridische expertise per rechtsgebied, veel grondiger dan AI-concepten die generieke clausules over landsgrenzen heen kopiëren.
Een ondertekenklaar Data Processing Agreement (DPA) volgens artikel 28 AVG, de Belgische Wet van 30 juli 2018 en de Europese Modelcontractbepalingen 2021/914. Onmisbaar zodra een leverancier — hostingpartij, CRM-platform, marketingbureau of sociaal secretariaat — voor uw rekening persoonsgegevens verwerkt in België.
PDF (free) + editable Word (.docx) with Expert
Available as a print-ready PDF or an editable Microsoft Word (.docx) file.
De verwerkersovereenkomst — internationaal Data Processing Agreement of DPA genoemd — is het juridische instrument dat artikel 28 van Verordening (EU) 2016/679 oplegt zodra een onderneming (de « verwerkingsverantwoordelijke ») een leverancier (de « verwerker ») inschakelt om voor haar rekening persoonsgegevens te verwerken. Zonder deze schriftelijke overeenkomst is de verwerking onrechtmatig onder de AVG en stellen beide partijen zich bloot aan sancties van de Gegevensbeschermingsautoriteit (GBA/APD), die kunnen oplopen tot 4 % van de wereldwijde jaaromzet of 20 miljoen euro.
In België geldt de verplichting voor iedere onderneming, ongeacht haar omvang. Of u nu een Antwerps cloudhostingbedrijf inschakelt, een Amerikaanse SaaS-CRM gebruikt, een Gents digitaal marketingbureau aanspreekt, een Brussels sociaal secretariaat raadpleegt of een Vlaamse loonverwerker contracteert: zodra gegevens van geïdentificeerde of identificeerbare natuurlijke personen (klanten, werknemers, prospecten, sollicitanten) aan een derde worden toevertrouwd, is een DPA vereist. De overeenkomst legt de aard en het doel van de verwerking vast, de categorieën van betrokkenen en gegevens, de looptijd, de minimale beveiligingsmaatregelen en de rechten van de verantwoordelijke inzake audit, melding van inbreuken en teruggave van gegevens.
Het Belgische juridische kader voegt verschillende lagen toe aan de Europese AVG. De Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (LCV) verfijnt de bevoegdheden van de Belgische GBA, de rechtsmiddelen en bepaalde sectorale verplichtingen. Het Uitvoeringsbesluit (EU) 2021/914 levert de Modelcontractbepalingen (SCC) die moeten worden ingebouwd voor elke doorgifte buiten de EU/EER zonder adequaatheidsbesluit, in het bijzonder naar de Verenigde Staten (EU-US Data Privacy Framework van juli 2023). Voor verwerkingen die elektronische communicatie betreffen blijft de ePrivacy-richtlijn 2002/58/EG met haar Belgische omzetting parallel van toepassing.
Het Doxuno-sjabloon dekt alle verplichte clausules van artikel 28 §3 AVG en biedt in de Expert-sectie de versterkte beschermingen die het verschil maken bij een GBA-controle of een gegevensinbreuk in België.
Aard, doeleinden, categorieën van betrokkenen en gegevens — vereiste art. 28 §3 AVG
De acht verplichtingen van art. 28 §3 a) tot h) clausule per clausule overgenomen
Pseudonimisering, versleuteling, vertrouwelijkheid, integriteit, beschikbaarheid, veerkracht
Termijn afgestemd op de meldingsplicht van de verantwoordelijke aan de GBA binnen 72 uur
Medewerking aan effectbeoordelingen en aan verzoeken inzake inzage, rectificatie, wissing
Voorafgaande toestemming, opzeg 30 dagen, dezelfde verplichtingen in cascade opgelegd
Besluit EU 2021/914 — Modules 2 en 3 ingebouwd voor stromen buiten de EU/EER
Termijn 30 dagen, schriftelijk certificaat, back-ups verwijderd
Jaarlijkse audit + fysieke inspectie ten laste van de verwerker bij wanprestatie
Versleuteling at rest/in transit, MFA, bewaartermijn logs, pentests, BCP/DRP
Dekking AVG-boetes en forfaitaire vergoeding per DPA-tekortkoming
Ondernemingsrechtbank + recht op klacht art. 77 AVG bij de GBA/APD
Geen juridische voorkennis nodig: de Doxuno-generator begeleidt u sectie per sectie en levert in enkele minuten een conforme en afdwingbare DPA, klaar om te ondertekenen met uw leverancier in België.
Vermeld de volledige handelsnaam, de rechtsvorm (BV, NV…), de maatschappelijke zetel en het KBO-nummer van uw onderneming (verwerkingsverantwoordelijke) en uw leverancier (verwerker) in België. Heeft een van beide partijen een Functionaris voor Gegevensbescherming (FG) aangesteld in de zin van artikel 37 AVG, voeg dan zijn contactadres toe — verplicht voor overheidsinstanties en sterk aanbevolen bij grootschalige verwerkingen.
Verbind de DPA aan de onderliggende hoofdovereenkomst (referentie en datum) en werk Bijlage 1 uit: aard van de verwerking (hosting, support, betaling, analytics…), precieze doeleinden, categorieën van betrokkenen (klanten, prospecten, werknemers) en categorieën van gegevens (identificatiegegevens, contactgegevens, betaalgegevens, IP-adres, logs). Deze nauwkeurigheid is vereist door artikel 28 §3 AVG en is het eerste punt dat de Belgische GBA onderzoekt bij een controle.
Geef aan of de verwerking betrekking heeft op bijzondere categorieën in de zin van artikel 9 AVG (gezondheid, biometrie) of artikel 10 (strafrechtelijke gegevens), dan wel op gegevens van minderjarigen (art. 8). Kies vervolgens de looptijd: afgestemd op de hoofdovereenkomst voor de meeste SaaS-prestaties, of in vaste maanden voor eenmalige opdrachten. Bijzondere categorieën activeren automatisch versterkte vereisten op het vlak van beveiliging en DPIA.
Indien de verwerker of zijn eigen subverwerkers de gegevens hosten of raadplegen vanuit een derde land (Verenigde Staten, India, Verenigd Koninkrijk…), vinkt u de juiste optie aan. De generator activeert automatisch de Modelcontractbepalingen (SCC) van het Besluit EU 2021/914, in module 2 (verantwoordelijke→verwerker) of 3 (verwerker→verwerker). De Verenigde Staten genieten sinds juli 2023 het Data Privacy Framework, maar een Schrems II-beoordeling blijft aanbevolen.
In de Expert-sectie activeert u de technische bijlage (AES-256-versleuteling, TLS 1.3, MFA, bewaring logs), eist u een ISO 27001-certificering of een SOC 2 Type II-rapport, het recht op inspectie ter plaatse, een cyberverzekering met minimumbedrag en een boetebeding per tekortkoming. Deze clausules vormen een generieke DPA om tot een echt governance-instrument — net wat ervaren FG's en grote inkoopafdelingen in België systematisch eisen. Download de PDF, onderteken en bewaar samen met uw register van verwerkingsactiviteiten.
Vier dingen die onze sjablonen grondiger maken dan AI-concepten en actueler dan statische sjabloonbibliotheken.
Opgesteld met juridische expertise per rechtsgebied, veel grondiger dan AI-concepten die generieke clausules over landsgrenzen heen kopiëren.
Sjablonen met wettelijke verwijzingen worden voortdurend bijgewerkt wanneer de wet verandert. Je document weerspiegelt altijd het geldende juridische kader.
Gratis te downloaden. Vectortekst, ingebedde lettertypes en wetscitaten in de clausules. Printen, ondertekenen, archiveren. Geschikt voor elke ondertekeningsstroom, inclusief elektronische handtekening.
Werk na het downloaden gewoon verder in Word. Voeg eigen clausules toe, hergebruik het sjabloon voor vergelijkbare overeenkomsten of deel het met een collega voor gezamenlijke beoordeling.
Vereist Expert eenmalige ontgrendeling of een betaald Doxuno-abonnement.
Elk model is in de eigen taal voor het land geschreven, gebaseerd op de regels die er echt gelden en blijft actueel bij elke wetswijziging — nooit een generiek formulier dat door een vertaalmachine is gehaald.
AVG-conformiteit beperkt zich niet tot de tekst van de DPA: zij veronderstelt samenhang tussen de overeenkomst, uw werkelijke praktijken en de documentatie die ter beschikking van de Belgische GBA wordt gehouden. Verschillende punten verdienen in België bijzondere aandacht.
Dit sjabloon is uitsluitend ter informatie en vormt geen geïndividualiseerd juridisch advies. Voor risicovolle verwerkingen — gezondheidsgegevens, banksector, grootschalige operaties — of bij twijfel over de vereisten die op uw situatie in België van toepassing zijn, raadpleegt u een advocaat gespecialiseerd in digitaal recht ingeschreven aan de Belgische balie, of een gecertificeerde Functionaris voor Gegevensbescherming.
Inhoud nagekeken door juristen gespecialiseerd in Belgisch gegevensbeschermingsrecht. De clausules zijn herzien om conformiteit te garanderen met artikel 28 AVG, de Belgische Wet van 30 juli 2018 en de constante praktijk van de Gegevensbeschermingsautoriteit (GBA/APD) bij gangbare verwerkingen via subverwerking.
Artikel 28 §3 AVG somt acht verplichtingen op die in elke verwerkersovereenkomst dwingend moeten worden opgenomen: (a) verwerking uitsluitend op gedocumenteerde instructie, (b) vertrouwelijkheid van het personeel, (c) beveiliging art. 32, (d) strikt geregelde subverwerking, (e) bijstand voor de rechten van betrokkenen, (f) bijstand voor meldingen van inbreuk, DPIA en raadpleging van de GBA, (g) teruggave of vernietiging na afloop, (h) informatie en auditrecht. De afwezigheid van één enkele van deze clausules volstaat om de overeenkomst non-conform te verklaren en stelt beide partijen bloot aan GBA-sancties. Het Doxuno-sjabloon neemt deze acht verplichtingen clausule per clausule over, met de AVG-artikelverwijzingen, in de gratis secties A tot C.
De Gegevensbeschermingsautoriteit (GBA), in het Frans Autorité de Protection des Données (APD), is gevestigd in de Drukpersstraat 35, 1000 Brussel. Zij is de toezichthoudende autoriteit in België in de zin van artikel 51 AVG. Elke betrokkene kan kosteloos online een klacht indienen. De GBA beschikt over uitgebreide bevoegdheden: bevel tot conformiteit, opschorting van grensoverschrijdende stromen, administratieve geldboetes tot 4 % van de wereldwijde omzet (art. 83 §5 AVG). Bij een inbreuk met een hoog risico moet de verantwoordelijke binnen 72 uur melden (art. 33), wat impliceert dat de verwerker zelf binnen 24 uur moet alarmeren — de termijn die ons sjabloon hanteert.
Sinds het Schrems II-arrest (HvJEU, C-311/18, 16 juli 2020) moet elke doorgifte van gegevens buiten de EU/EER steunen op een adequaatheidsbesluit (art. 45) of op passende waarborgen (art. 46), in de eerste plaats de Modelcontractbepalingen vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021. Vier modules bestaan — module 2 (verantwoordelijke naar verwerker) en module 3 (verwerker naar verwerker) zijn de meest gebruikte in België. Daarnaast is een aanvullende doorgiftegevolgenbeoordeling (Transfer Impact Assessment) vereist om te verifiëren of het recht van het derde land de SCC niet ondermijnt. Voor de Verenigde Staten vormt het EU-US Data Privacy Framework dat in juli 2023 werd goedgekeurd (besluit 2023/1795) voortaan een autonome adequaatheidsgrondslag voor gecertificeerde organisaties.
Artikel 33 AVG verplicht de verwerkingsverantwoordelijke om elke inbreuk in verband met persoonsgegevens binnen 72 uur na kennisname aan de GBA te melden, behoudens wanneer de inbreuk waarschijnlijk geen risico inhoudt voor de rechten van de betrokkenen. Wanneer de inbreuk een hoog risico inhoudt, legt artikel 34 bovendien een individuele kennisgeving aan de betrokkenen op binnen de kortste termijn. Deze krappe planning verklaart waarom de DPA aan de verwerker een kortere meldingstermijn moet opleggen — 24 uur in ons sjabloon — om de verantwoordelijke de tijd te geven om te analyseren, te documenteren en te melden. Een vertraging in de melding is op zich beboetbaar door de Belgische GBA.
Genereer in enkele minuten een professionele Data Processing Agreement, conform artikel 28 AVG en afdwingbaar voor de Belgische GBA. Gratis voor de basisversie, geen account vereist.
Free PDF · Editable Word with Expert · No account required