AVG Artikel 28: Verwerkersverplichtingen & verwerkersovereenkomst (2026)
Published 6 jul 2026
By Anna Bley

AVG Artikel 28: Verwerkersverplichtingen & verwerkersovereenkomst (2026)

AVG artikel 28 uitgelegd: de verplichte clausules van de verwerkersovereenkomst, de onderzoeksplicht van de verantwoordelijke, subverwerkertoestemming, EDPB-advies 22/2024, en hoe u het aantoont.

AVG
GDPR
Gegevensbescherming
Verwerkersovereenkomst
Compliance

AVG Artikel 28: verwerkersverplichtingen & verwerkersovereenkomst

AVG artikel 28 regelt de verhouding tussen een verwerkingsverantwoordelijke en een verwerker. Het verplicht de verantwoordelijke om uitsluitend verwerkers in te schakelen die „afdoende garanties" van passende beveiliging bieden, en het verlangt dat de relatie wordt beheerst door een bindend contract — de verwerkersovereenkomst — met acht verplichte sets van bepalingen uit artikel 28(3). Het stelt ook de regels voor subverwerking vast: een verwerker mag geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verantwoordelijke, en blijft aansprakelijk voor de naleving door die subverwerker.

Voor elk B2B-SaaS-bedrijf is artikel 28 het artikel dat in elke enterprisedeal opduikt. Uw klanten zijn verantwoordelijken; u bent hun verwerker; en de verwerkersovereenkomst is het contract dat de relatie rechtmatig maakt. Deze pagina is de juridische referentie voor wat artikel 28 vereist — de verplichte clausules, de doorlopende onderzoeksplicht van de verantwoordelijke, en de subverwerkerregels die EDPB-advies 22/2024 heeft aangescherpt. Voor de operationele kant — hoe u een openbare subverwerkerslijst en een workflow voor wijzigingsmeldingen inricht die verantwoordelijken werkelijk vertrouwen — zie onze bijbehorende gids over subverwerkerbeheer onder artikel 28.

Belangrijkste punten

  • Artikel 28 vereist een schriftelijk contract (de verwerkersovereenkomst) met elke verwerker, met de acht verplichte verbintenissen uit artikel 28(3).
  • „Afdoende garanties" is een doorlopende verplichting. Onder artikel 28(1) en EDPB-advies 22/2024 moet de verantwoordelijke de garanties van de verwerker met passende tussenpozen verifiëren — niet eenmalig bij ondertekening.
  • Subverwerkers hebben toestemming nodig (artikel 28(2)) — specifiek of algemeen — en dezelfde gegevensbeschermingsverplichtingen moeten contractueel worden doorgegeven (artikel 28(4)).
  • Aansprakelijkheid blijft bij de oorspronkelijke verwerker. Faalt een subverwerker, dan is de verwerker — niet de subverwerker — verantwoording verschuldigd aan de verantwoordelijke (artikel 28(4)).
  • EDPB-advies 22/2024 legde de lat hoger: verantwoordelijken moeten elke verwerker en subverwerker in de keten te allen tijde kunnen identificeren, en blijven verantwoordelijk voor de waarborgen bij doorgifte.
  • Een schending van de verwerkersovereenkomst is beboetbaar onder artikel 83(4): tot 10 miljoen euro of 2 % van de wereldwijde jaaromzet.

Ga naar:


Wat artikel 28 vereist

Artikel 28 van Verordening (EU) 2016/679 is het antwoord van de AVG op een eenvoudig structureel feit: de meeste persoonsgegevens worden niet verwerkt door de organisatie die beslist waarom ze worden verwerkt. Een verantwoordelijke (de organisatie die het doel en de middelen bepaalt) vertrouwt vrijwel altijd op verwerkers — cloudhosting, analytics, betaling, CRM, supporttooling — om de verwerking daadwerkelijk uit te voeren. Artikel 28 regelt die relatie, zodat de verantwoordelijkheid niet verdampt zodra gegevens worden overgedragen.

Het doet drie dingen:

  1. Stelt een selectieplicht — de verantwoordelijke mag uitsluitend verwerkers inschakelen die „afdoende garanties" bieden (artikel 28(1)).
  2. Verplicht een contract — de verwerking moet worden beheerst door een verwerkersovereenkomst met voorgeschreven inhoud (artikel 28(3)).
  3. Reguleert de keten — een verwerker mag alleen subverwerkers inschakelen onder gedefinieerde toestemmingsregels, en blijft voor hen aansprakelijk (artikel 28(2) en (4)).

Voor B2B-SaaS-bedrijven is de kern onontkoombaar: u bent vrijwel altijd zowel een verantwoordelijke (voor uw eigen medewerkers- en klantaccountgegevens) als een verwerker (voor de gegevens die uw klanten in uw platform opslaan). Artikel 28 geldt daarom voor u in beide richtingen — inkomend, wanneer u uw eigen leveranciers toetst, en uitgaand, wanneer uw klanten u toetsen.


Een verwerker kiezen: „afdoende garanties"

Artikel 28(1) stelt de drempelvoorwaarde:

„Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd."

Dit is een onderzoeksverplichting, geen vinkje bij onboarding. Het EDPB-advies 22/2024 (uitgebracht op 9 oktober 2024) is uitdrukkelijk dat „afdoende garanties" een doorlopende verplichting is: de verantwoordelijke „dient met passende tussenpozen de garanties van de verwerker te verifiëren". De diepgang van de verificatie schaalt mee met het risico — hoogrisicoverwerking vergt meer toetsing — maar de plicht zelf geldt ongeacht het risiconiveau.

In de praktijk is „afdoende garanties" de plek waar certificeringen hun waarde bewijzen. Een ISO 27001-certificaat, een SOC 2-rapport of een onderhouden Trust Center geeft een verantwoordelijke een verdedigbare, herhaalbare basis om te concluderen dat een verwerker geschikt is — precies de reden waarom Europese inkoopteams er als eerste om vragen, nog vóór al het andere.


De 8 verplichte clausules van de verwerkersovereenkomst (artikel 28(3))

Artikel 28(3) verlangt dat de verwerking wordt beheerst door „een overeenkomst of andere rechtshandeling" die de verwerker bindt, en schrijft acht verbintenissen voor die de verwerkersovereenkomst moet bevatten. Dit is het meest getoetste deel van artikel 28 in een inkoopreview — een verwerkersovereenkomst waarin een van deze ontbreekt, is niet-conform:

#Verplichte verbintenis in de verwerkersovereenkomstRechtsgrondslag
1Persoonsgegevens uitsluitend op gedocumenteerde instructies van de verantwoordelijke verwerken (ook bij internationale doorgiften)Art. 28(3)(a)
2Waarborgen dat personen die gemachtigd zijn de gegevens te verwerken onder een geheimhoudingsplicht vallenArt. 28(3)(b)
3Alle door artikel 32 vereiste beveiligingsmaatregelen treffenArt. 28(3)(c)
4De voorwaarden voor het inschakelen van subverwerkers in art. 28(2) en (4) nalevenArt. 28(3)(d)
5De verantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenenArt. 28(3)(e)
6De verantwoordelijke bijstaan bij beveiligings-, datalekmeld- en DPIA-verplichtingen (artikelen 32–36)Art. 28(3)(f)
7Alle persoonsgegevens na afloop van de opdracht wissen of teruggeven (keuze van de verantwoordelijke)Art. 28(3)(g)
8Alle informatie beschikbaar stellen die nodig is om naleving aan te tonen, en audits en inspecties mogelijk maken en eraan bijdragenArt. 28(3)(h)

Twee van deze dragen een buitenproportioneel operationeel gewicht. Clausule 1 (gedocumenteerde instructies) is de reden dat de formulering „uitsluitend op instructie verwerken" in elke verwerkersovereenkomst voorkomt — EDPB-advies 22/2024 bevestigt dat alternatieve bewoordingen zoals „tenzij wettelijk of door een bindend overheidsbevel vereist" artikel 28 niet schenden, maar ook geen van beide partijen ontslaan van hun AVG-plichten. Clausule 8 (audit- en informatierechten) is degene die enterprisekopers het meest uitoefenen: het is de rechtsgrondslag voor de beveiligingsvragenlijst, het auditverzoek en de eis om uw bewijs te zien — de terugkerende kostenpost die een zelfbedienend Trust Center is ontworpen om te elimineren.

Artikel 28(5) voegt toe dat het aansluiten bij een goedgekeurde gedragscode (artikel 40) of een goedgekeurd certificeringsmechanisme (artikel 42) kan worden gebruikt als een element om de door artikel 28(1) vereiste afdoende garanties aan te tonen.


Toestemming voor subverwerkers (artikel 28(2) & (4))

Een verwerker werkt zelden alleen. Wanneer hij een andere verwerker — een subverwerker — inschakelt, legt artikel 28 twee regels op.

Toestemming (artikel 28(2)). De verwerker „neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke."

  • Specifieke toestemming — de verantwoordelijke keurt elke subverwerker afzonderlijk goed, schriftelijk, vóór inschakeling.
  • Algemene toestemming — de verantwoordelijke geeft vooraf goedkeuring op voorwaarde dat de verwerker „de verwerkingsverantwoordelijke informeert over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waardoor de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken."

De meeste B2B-SaaS-bedrijven werken onder algemene toestemming, omdat specifieke toestemming voor beide partijen operationeel zwaar is. Maar algemene toestemming is geen blanco cheque: ze is voorwaardelijk aan transparante, proactieve wijzigingsmelding en een reële gelegenheid tot bezwaar.

Doorgeven en aansprakelijkheid (artikel 28(4)). Wanneer een subverwerker wordt ingeschakeld, worden „dezelfde gegevensbeschermingsverplichtingen als die welke in de overeenkomst … zijn opgenomen, aan die andere verwerker opgelegd", en — cruciaal — „wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker." Aansprakelijkheid verschuift niet weg naar beneden in de keten; ze blijft bij de verwerker met wie de verantwoordelijke heeft gecontracteerd.

De praktische uitvoering van deze regels — de openbare subverwerkerslijst, het meldvenster en de bezwaarworkflow — is het onderwerp van onze operationele bijbehorende gids, subverwerkerbeheer onder AVG artikel 28: wat verantwoordelijken werkelijk verwachten, en van onze gids over AVG-subverwerker-wijzigingsmeldingen.


Wat EDPB-advies 22/2024 veranderde

In oktober 2024 bracht de EDPB Advies 22/2024 uit over verplichtingen die voortvloeien uit het inschakelen van verwerkers en subverwerkers. Het veranderde de tekst van artikel 28 niet, maar verduidelijkte hoe toezichthoudende autoriteiten het zullen toepassen — en de lezing is strikt:

  • Zichtbaarheid van de hele keten. Verantwoordelijken „dienen de informatie over de identiteit (d.w.z. naam, adres, contactpersoon) van alle verwerkers, subverwerkers enz. te allen tijde direct beschikbaar te hebben." De verwerker moet dit proactief verstrekken en actueel houden. Alleen de eerste laag van subverwerkers bekendmaken volstaat niet — de hele keten moet identificeerbaar zijn.
  • Verificatie is doorlopend maar proportioneel. De verantwoordelijke hoeft niet systematisch elk subverwerkingscontract op te vragen; hij mag afgaan op de informatie die de verwerker verstrekt, per geval beoordeeld, met diepere verificatie voor hoogrisicoverwerking. Maar de uiteindelijke verantwoordelijkheid voor het aantonen van afdoende garanties berust bij de verantwoordelijke.
  • Doorgiften blijven het probleem van de verantwoordelijke. Zelfs wanneer de oorspronkelijke verwerker zich in de EER bevindt, blijft de verantwoordelijke verantwoordelijk voor het waarborgen van afdoende garanties — inclusief impactbeoordelingen van doorgiften — voor elke verdere doorgifte van gegevens buiten de EER door een subverwerker.

Het advies is niet juridisch bindend, maar het is onmiddellijk toepasbaar en nationale autoriteiten zullen het in onderzoeken toepassen. Het praktische effect is dat het een actuele, volledige, machineleesbare subverwerkerslijst — niet een verouderde PDF-bijlage — tot de basislijn maakt die een verantwoordelijke nu nodig heeft om zijn eigen verantwoordingsplicht te vervullen. Dat is een vereiste die uw klanten op u zullen afwentelen.


Hoe u naleving door de verwerker aantoont

Artikel 28 is een tweezijdige verplichting, en de aantoonbare helft is waar deals worden gewonnen. Uw klant (de verantwoordelijke) moet aantonen dat hij due diligence op u heeft uitgevoerd; u (de verwerker) moet dat makkelijk maken. De verwerkers die enterprisepijplijn converteren, zijn degene die artikel 28 omzetten in zelfbedienend bewijs in plaats van een juridische exercitie op maat per deal.

Verplichting artikel 28Wat de verantwoordelijke wil zienHoe u het levert
28(1) Afdoende garantiesCertificeringen en actuele beveiligingspositieISO 27001- / SOC 2-rapporten in een Trust Center
28(3) Een conforme verwerkersovereenkomstEen ondertekenbare verwerkersovereenkomst met alle acht clausulesEen vooraf gepubliceerde, standaard verwerkersovereenkomst beschikbaar om te downloaden
28(3)(c) Maatregelen van artikel 32Uw TOM's / beveiligingswhitepaperEen onderhouden document met maatregelen onder artikel 32
28(2) Toestemming voor subverwerkersEen actuele, volledige subverwerkerslijst + wijzigingsmeldingenEen openbare subverwerkerpagina met geautomatiseerde meldingen
28(3)(h) Audit- & informatierechtenAntwoorden op beveiligingsvragenlijsten, bewijspakkettenZelfbedienend bewijs in een Trust Center — geen e-mailconversatie per deal

De rode draad is dezelfde als bij de rest van de AVG: verantwoording onder artikel 5(2) betekent dat het antwoord op „toon het aan" op verzoek opvraagbaar moet zijn. Voor een verwerker is de goedkoopste plek om bewijs onder artikel 28 opvraagbaar te maken één gehoste omgeving die elke klant kan bereiken — precies waar een Trust Center voor is.


Boetes en handhaving

Overtredingen van artikel 28 vallen in de lagere boetecategorie onder artikel 83(4): tot 10 miljoen euro of 2 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Vaststellingen onder artikel 28 gaan vaak samen met vaststellingen onder artikel 32 (beveiliging) en artikel 5 (verantwoording), omdat een zwakke verwerkersrelatie doorgaans tegelijkertijd zwakke beveiliging en zwakke documentatie blootlegt. De 45 miljoen euro aan boetes die Duitsland in 2025 aan Vodafone oplegde, omvatte bijvoorbeeld ontoereikend toezicht op gegevensverwerkers.

De bredere context is een handhavingsomgeving die niet langer sporadisch is: de cumulatieve AVG-boetes bereikten in januari 2026 7,1 miljard euro, waarvan ongeveer 1,2 miljard euro alleen al in 2025 werd opgelegd, aldus de DLA Piper GDPR Fines and Data Breach Survey (januari 2026). Nu EDPB-advies 22/2024 de verwachtingen rond subverwerkertransparantie aanscherpt, is de verwerkersrelatie eerder een groeiend aandachtsgebied van het toezicht dan een afgesloten kwestie.


De positie van het VK en Noorwegen

Artikel 28 is een Europese norm, en de regels tussen verantwoordelijke en verwerker zijn consistent in het bredere Europese compliancelandschap.

Verenigd Koninkrijk. De UK GDPR behoudt artikel 28 en de verplichte inhoud van de verwerkersovereenkomst in identieke inhoud, onder toezicht van de Information Commissioner's Office (ICO). De Data (Use and Access) Act 2025 (koninklijke goedkeuring op 19 juni 2025) hervormde delen van de Britse gegevensbescherming, maar liet het kader tussen verantwoordelijke en verwerker intact, en de Europese Commissie ging over tot vernieuwing van het adequaatheidsbesluit voor het VK na toetsing van de hervormingen — zodat de EU-VK-gegevensstromen, en grensoverschrijdende verwerkersovereenkomsten, ononderbroken doorgaan.

Noorwegen en de EER. Noorwegen past de AVG toe via de EER-overeenkomst (van kracht sinds juli 2018), zodat artikel 28 Noorse verwerkingsverantwoordelijken en verwerkers in identieke bewoordingen bindt, onder toezicht van het Datatilsynet. De clausules van de verwerkersovereenkomst, de plicht tot afdoende garanties en de subverwerkerregels zijn dezelfde — wat betekent dat één artikel 28-conform verwerkersovereenkomstkader en subverwerkerproces de EU, de EER en het VK tegelijk bedient.


Artikel 28 operationeel maken in een Trust Center

Artikel 28 is een verplichting van contract-en-bewijs, en het wordt gewonnen door frictie weg te nemen uit de twee momenten waarop het knijpt: het ondertekenen van de verwerkersovereenkomst, en het achteraf aantonen van naleving. Drie capaciteiten doen het meeste werk:

  1. Een vooraf gepubliceerde, standaard verwerkersovereenkomst met alle acht clausules van artikel 28(3), gehost om zelf te downloaden — zodat de verwerkersovereenkomst ophoudt een onderhandeling per deal te zijn en een document wordt dat een klant kan aanvaarden.
  2. Een actuele, volledige subverwerkerslijst met geautomatiseerde wijzigingsmeldingen en een gedefinieerd bezwaarvenster — de basislijn die EDPB-advies 22/2024 nu verwacht, geleverd via een openbare Trust Center-pagina in plaats van een verouderde bijlage. Onze workflow voor subverwerker-wijzigingsmeldingen beschrijft precies wat elke melding moet bevatten.
  3. Zelfbedienend nalevingsbewijs — certificeringen, TOM's en auditondersteunend materiaal op één plek — zodat het audit-en-informatierecht van artikel 28(3)(h) wordt vervuld met een link in plaats van een vragenlijstcyclus.

Dit is het ISMS-en-Trust-Center-model toegepast op de verwerkersrelatie: een ISMS brengt de afdoende garanties voort die artikel 28(1) verlangt, en een Trust Center maakt ze aantoonbaar voor elke verantwoordelijke die erom vraagt. Het Trust Center-platform van Orbiq houdt de verwerkersovereenkomst, subverwerkerslijst, certificeringen en bewijzen actueel en bereikbaar — waarmee artikel 28 verandert van een terugkerende juridische kostenpost in een permanent verkoopmiddel.

Host uw verwerkersovereenkomst en subverwerkerslijst in een Trust Center. Ontdek hoe Orbiq bewijs onder artikel 28 aanpakt →


Bronnen & referenties

  1. Verordening (EU) 2016/679 (AVG) — Volledige tekst (EUR-Lex ELI) — Publicatieblad van de Europese Unie; artikel 28 in context.
  2. gdpr-info.eu — Artikel 28 (Verwerker) — Artikeltekst en overwegingen.
  3. EDPB-advies 22/2024 over het inschakelen van verwerkers en subverwerkers (PDF) — Aangenomen op 9 oktober 2024; identificatie van de hele keten, doorlopende verificatie, doorgiften.
  4. EDPB — Richtsnoeren 07/2020 over de begrippen verwerkingsverantwoordelijke en verwerker — Versie 2.1; relaties tussen verantwoordelijke en verwerker en subverwerking.
  5. DLA Piper GDPR Fines and Data Breach Survey: januari 2026 — 7,1 miljard euro cumulatief; 1,2 miljard euro in 2025.
  6. ICO — Contracts and liabilities between controllers and processors (UK GDPR) — Britse richtsnoeren bij artikel 28.
  7. Datatilsynet — Noorse toezichthouder gegevensbescherming — Verwerkersrichtsnoeren (Noorwegen / EER).

Verder lezen

Veelgestelde vragen

Wat vereist AVG artikel 28?

Artikel 28 regelt de verhouding tussen verwerkingsverantwoordelijke en verwerker. Het verplicht verantwoordelijken om uitsluitend verwerkers in te schakelen die 'afdoende garanties' bieden voor het treffen van passende beveiligingsmaatregelen, en het verlangt dat de relatie wordt beheerst door een bindend contract — de verwerkersovereenkomst — met acht verplichte sets van bepalingen uit artikel 28(3). Het reguleert ook de inschakeling van subverwerkers: een verwerker mag geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verantwoordelijke.

Wat moet een verwerkersovereenkomst bevatten onder artikel 28(3)?

Artikel 28(3) verlangt dat de verwerkersovereenkomst de verwerker bindt aan acht verplichtingen: (a) uitsluitend verwerken op gedocumenteerde instructies; (b) vertrouwelijkheid van het personeel waarborgen; (c) alle beveiligingsmaatregelen van artikel 32 treffen; (d) de voorwaarden voor het inschakelen van subverwerkers naleven; (e) de verantwoordelijke bijstaan bij verzoeken van betrokkenen; (f) bijstand verlenen bij beveiligings-, datalekmeld- en DPIA-verplichtingen (artikelen 32–36); (g) de gegevens na afloop van de opdracht wissen of teruggeven; en (h) alle informatie beschikbaar stellen die nodig is om naleving aan te tonen en audits en inspecties mogelijk maken.

Wat is het verschil tussen specifieke en algemene toestemming voor subverwerkers?

Onder artikel 28(2) mag een verwerker alleen een subverwerker inschakelen met toestemming van de verantwoordelijke. Specifieke toestemming betekent dat de verantwoordelijke elke subverwerker afzonderlijk goedkeurt voordat deze wordt ingeschakeld. Algemene toestemming betekent dat de verantwoordelijke vooraf een blanco goedkeuring geeft, op voorwaarde dat de verwerker hem informeert over elke voorgenomen toevoeging of vervanging en hem de gelegenheid geeft bezwaar te maken. De meeste B2B-SaaS-bedrijven werken onder algemene toestemming.

Wie is aansprakelijk als een subverwerker de AVG schendt?

Onder artikel 28(4) moeten, wanneer een verwerker een subverwerker inschakelt, dezelfde gegevensbeschermingsverplichtingen contractueel aan die subverwerker worden opgelegd — en de oorspronkelijke verwerker blijft volledig aansprakelijk jegens de verantwoordelijke voor de prestaties van de subverwerker. Aansprakelijkheid verschuift niet naar beneden in de keten. EDPB-advies 22/2024 bevestigt dat de verantwoordelijke te allen tijde elke verwerker en subverwerker in de keten moet kunnen identificeren.

Geldt AVG artikel 28 ook in het VK en Noorwegen?

Ja, in gelijkwaardige vorm. De UK GDPR behoudt artikel 28 en de verplichte bepalingen van de verwerkersovereenkomst, onder toezicht van de ICO. Noorwegen past de AVG toe via de EER-overeenkomst, onder toezicht van het Datatilsynet. De inhoudsvereisten van de verwerkersovereenkomst en de regels voor subverwerkertoestemming zijn consistent in de EU, de EER en het VK, zodat één artikel 28-conform verwerkersovereenkomstkader in alle drie werkt.

AVG Artikel 28: Verwerkersverplichtingen &...