
AVG-wijzigingsmelding voor subverwerkers: sjabloon (gratis DOCX & PDF)
Gratis AVG-sjabloon voor wijzigingsmeldingen van subverwerkers met alle door de EDPB verwachte velden, plus de e-mailvariant, bezwaarafhandeling en goedkeuringsworkflow.
Download dit sjabloon
Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels
AVG-wijzigingsmelding voor subverwerkers: sjabloon (Word, PDF & Markdown)
Dit gratis sjabloon voor wijzigingsmeldingen van subverwerkers geeft u een kant-en-klare kennisgeving onder AVG-artikel 28, lid 2: elk veld dat EDPB-advies 22/2024 verwacht — identiteit van de subverwerker, contactpersoon, dienst en gegevenscategorieën, verwerkingslocatie, doorgiftemechanisme, ingangsdatum en bezwaartermijn — plus de e-mailvariant van de melding, voorbeeldtekst voor de reactie op bezwaren en de interne goedkeuringsworkflow. Download het als Word (DOCX), PDF of een machine-leesbaar Markdown-bestand waarmee uw AI-tooling zelf kan opstellen (de downloadbare bestanden zijn in het Engels).
Onder algemene schriftelijke toestemming moet u elke getroffen verwerkingsverantwoordelijke informeren over een voorgenomen toevoeging of vervanging van een subverwerker en hem een reële mogelijkheid geven om bezwaar te maken voordat de wijziging ingaat. Sinds EDPB-advies 22/2024 haalt een e-mail van één regel — "wij hebben leverancier X toegevoegd" — die lat niet meer. Dit sjabloon bundelt de melding die de meeste Europese FG's nu verwachten te ontvangen. Voor het proces erachter — meldtermijnen, de grenzen van stilzwijgen-als-toestemming, abonneemodellen — zie de volledige gids: AVG-wijzigingsmeldingen voor subverwerkers: het meldingsproces van artikel 28.
Belangrijkste punten
- De melding is een gestructureerd document, geen beleefdheidsmail. Na EDPB-advies 22/2024 moet ze voldoende detail bevatten om de verwerkingsverantwoordelijke een geïnformeerd bezwaarbesluit te laten nemen — de acht verplichte velden van het sjabloon sluiten één-op-één aan op die verwachting.
- De termijn bepaalt u zelf, want de AVG doet het niet. Artikel 28 stelt geen wettelijke meldtermijn vast. Het sjabloon dwingt u een expliciete bezwaartermijn en bezwaarmethode te vermelden, ontleend aan uw verwerkersovereenkomst — in de Europese praktijk doorgaans ~15 dagen, 30–60 dagen bedongen, 90 dagen zeldzaam.
- Doorgiften horen bij de melding. Verwerkt de nieuwe subverwerker gegevens buiten de EER, dan moet de melding het mechanisme noemen — standaardcontractbepalingen (SCC's) of een adequaatheidsbesluit — zodat verwerkingsverantwoordelijken hun eigen doorgiftebeoordeling kunnen uitvoeren.
- Goedkeuring komt vóór verzending. De ingebouwde workflow (juridisch → FG → publiceren → informeren) bestaat omdat een melding die de deur uitgaat voordat de subverwerkerslijst is bijgewerkt, of voordat de doorgifteanalyse is afgerond, precies het auditgat creëert dat ze moest dichten.
- Eén sjabloon dekt EU, EER en VK. De UK GDPR en de Noorse personopplysningsloven bevatten artikel 28 in dezelfde vorm, dus een melding die is opgesteld naar de strengste lezing werkt in alle drie.
Wat er in het sjabloon zit
Het kernartefact is het meldingsdocument zelf — het eigenlijke AVG-meldingssjabloon voor subverwerkers — een invulformulier met de acht velden die een verwerkingsverantwoordelijke (en zijn FG) nodig heeft om de wijziging te beoordelen:
| Veld | Wat u invult | Waarom het vereist is |
|---|---|---|
| Naam en adres van de subverwerker | Naam van de juridische entiteit en geregistreerd adres | Basisidentificatie — EDPB-advies 22/2024 verwacht de identiteit van elke actor in de keten |
| Land / verwerkingslocatie | Waar de gegevens daadwerkelijk worden verwerkt | Bepaalt of de doorgifteregels van hoofdstuk V van toepassing zijn |
| Beschrijving van dienst / verwerking | Wat de subverwerker doet en welke van uw producten hij ondersteunt | Verwerkingsverantwoordelijken moeten weten welke verwerking wordt toevertrouwd, niet alleen aan wie |
| Categorieën persoonsgegevens | Bijv. contactgegevens, gebruiksgegevens, supportinhoud | Laat de verwerkingsverantwoordelijke het risico inschatten en beoordelen of bijzondere categorieën worden geraakt |
| Doorgiftemechanisme | SCC's (Besluit 2021/914), adequaatheidsbesluit of n.v.t. (alleen EER) | Na Schrems II dwingt een melding zonder doorgiftegrondslag de verwerkingsverantwoordelijke om achter u aan te gaan |
| Beveiligingsgaranties | Certificeringen (ISO 27001, SOC 2) of een samenvatting van maatregelen | Ondersteunt de beoordeling van de 'afdoende garanties' uit artikel 28, lid 1, door de verwerkingsverantwoordelijke |
| Ingangsdatum | De datum waarop de subverwerker met de verwerking begint | De melding moet deze datum met de volledige bezwaartermijn voorafgaan |
| Bezwaartermijn en -methode | Expliciete datum plus de wijze van bezwaar (e-mailadres, portaal) | De mogelijkheid tot bezwaar moet reëel zijn — een termijn die niemand kan vinden, is er geen |
Rond de melding zelf bevat de download:
- De e-mailvariant — onderwerpregel en berichttekst voor het bezorgen van de melding aan geabonneerde verwerkingsverantwoordelijken, zo geschreven dat de bezwaartermijn zichtbaar is zonder een bijlage te openen.
- Voorbeeldtekst voor de reactie op bezwaren — de bevestiging die u stuurt wanneer een verwerkingsverantwoordelijke bezwaar maakt, met toezegging van het traject redelijke inspanningen / werkbare oplossing / beëindiging.
- De goedkeuringsworkflow — een interne checklist in vier stappen (juridisch → FG → publiceren → informeren) met wat elke controlepoort toetst.
- Een ingevuld voorbeeld — een realistische, volledig ingevulde melding, zodat juridische en niet-juridische beoordelaars zien hoe 'af' eruitziet.
De Markdown-versie bevat dezelfde inhoud met machine-leesbare velddefinities, zodat een AI-agent of interne tooling op basis van alleen dat bestand een conforme melding kan opstellen.
Zo gebruikt u het: de goedkeuringsworkflow
Een melding is maar zo goed als het proces dat haar verzendt. De workflow van het sjabloon kent vier controlepoorten:
- Juridische beoordeling. Bevestig wat uw verwerkersovereenkomsten daadwerkelijk beloven: de meldtermijn, de bezwaarmethode en het gevolg van een bezwaar. Als verschillende klantsegmenten verschillende termijnen hebben bedongen (grote ondernemingen houden vaak vast aan 30–60 dagen), moet de melding de langste toepasselijke termijn respecteren — of u verstuurt gesegmenteerde meldingen.
- Akkoord van de FG. De FG of privacy lead verifieert de inhoud: due diligence op de nieuwe subverwerker, de doorgifteanalyse (SCC's getekend? adequaatheid van toepassing?) en of alle acht velden compleet zijn. Hier wordt een melding met alleen een naam onderschept voordat ze u in verlegenheid brengt.
- Publiceren. Werk het openbare subverwerkersregister bij vóór of gelijktijdig met de melding, zodat een verwerkingsverantwoordelijke die doorklikt een lijst ziet die overeenkomt met wat hem is verteld. EDPB-advies 22/2024 verwacht dat die lijst te allen tijde actueel is.
- Informeren. Verstuur de melding — push, geen pull — aan elke verwerkingsverantwoordelijke wiens gegevens de subverwerker zal aanraken, start de bezwaartermijn en log de verzending. Het logboek is uw bewijs van wie is geïnformeerd, wanneer en met welke inhoud.
Over de termijn: weersta de verleiding om een getal uit andermans verwerkersovereenkomst over te nemen. De Europese praktijk clustert rond ~15 dagen als de gebruikelijke termijn, 30–60 dagen als het gangbare bedongen bereik voor grote ondernemingen en gereguleerde verwerkingsverantwoordelijken, en 90 dagen als steeds zeldzamer. De toets van de EDPB is niet het getal, maar of de termijn een zinvol, geïnformeerd bezwaar toelaat — een korte termijn bij een wijziging met hoog risico is aanvechtbaar, ook al staat ze in het contract.
Maakt een verwerkingsverantwoordelijke bezwaar, dan volgt de voorbeeldtekst het standaardmodel: bevestig binnen een vermelde termijn, probeer een werkbare oplossing (zoals de gegevens van die verwerkingsverantwoordelijke niet via de nieuwe subverwerker leiden), en bied als geen enkele oplossing werkbaar is beëindiging van de betrokken diensten zonder boete aan. Documenteer het bezwaar en de afhandeling ervan — het hoort in dezelfde audittrail als de melding.
De juridische grondslag achter elk veld
Elk veld in het sjabloon is terug te voeren op een specifieke verplichting — beknopt, want de volledige gids behandelt elk veld in de diepte:
- AVG-artikel 28, lid 2 schept de meldplicht zelf: onder algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waardoor de verwerkingsverantwoordelijke de mogelijkheid heeft om tegen die veranderingen bezwaar te maken. De velden ingangsdatum en bezwaartermijn operationaliseren 'beoogd' en 'mogelijkheid'.
- Artikel 28, lid 3, onder d), en artikel 28, lid 4, verplichten de verwerker de voorwaarden van lid 2 in het contract te respecteren, dezelfde gegevensbeschermingsverplichtingen door te geven aan de subverwerker en jegens de verwerkingsverantwoordelijke aansprakelijk te blijven voor de naleving door die subverwerker — daarom is het veld beveiligingsgaranties iets wat ú moet onderbouwen, niet de subverwerker. Artikel 28, lid 9, vereist dat de regeling schriftelijk wordt vastgelegd, ook in elektronische vorm, dus een gemailde melding is een geldig instrument.
- Hoofdstuk V (artikelen 44–46) beheerst het veld doorgiftemechanisme. Verwerking buiten de EER vereist een adequaatheidsbesluit (artikel 45 — momenteel onder meer voor het VK, Zwitserland, Japan en Amerikaanse organisaties die zijn gecertificeerd onder het EU-VS Data Privacy Framework) of passende waarborgen op grond van artikel 46, meestal de standaardcontractbepalingen in Uitvoeringsbesluit (EU) 2021/914 van de Commissie. Voor verhoudingen tussen verwerkingsverantwoordelijke en verwerker binnen de EER bestaan eigen, optionele SCC's onder Besluit (EU) 2021/915.
- EDPB-advies 22/2024 (aangenomen op 7 oktober 2024) bepaalt de veldenlijst: identiteit, contactpersoon, beschrijving van de verwerking, locatie, doorgiftewaarborgen en beveiligingsgaranties voor elke subverwerker in de keten, te allen tijde actueel gehouden en proactief verstrekt. Het beperkt geachte aanvaarding bovendien tot algemene toestemming met een echte, tijdige kennisgeving — onder specifieke toestemming is stilzwijgen nooit toestemming.
De diepgang is risicogebaseerd: voor een toolingwijziging met laag risico volstaan beknopte gegevens; bij een subverwerker die gevoelige gegevens aanraakt, mogen verwerkingsverantwoordelijken in elk veld meer verwachten. Hoe dit past in uw bredere register- en due-diligenceverplichtingen leest u in Subverwerkerbeheer onder AVG-artikel 28, en de omringende verwerkersverplichtingen in AVG-artikelen 28, 32, 33 en 34.
Het sjabloon gebruiken in het VK en Noorwegen/EER
Voor het VK en Noorwegen is geen aanpassing nodig. De UK GDPR behoudt artikel 28 in dezelfde vorm, onder toezicht van de ICO, wier contractrichtsnoeren verwerkers opdragen 'de datum waarop de verwerkingsverantwoordelijke eventuele bezwaren kenbaar moet maken' vast te leggen — precies het veld bezwaartermijn van het sjabloon. Noorwegen past de AVG toe via de personopplysningsloven op grond van de EER-overeenkomst, onder toezicht van Datatilsynet, zonder nationale regel die de meldplicht bij wijzigingen verzacht. Het enige veld dat per jurisdictie verandert, is het doorgiftemechanisme: een doorgifte vanuit de EER naar het VK steunt momenteel op het adequaatheidsbesluit voor het VK, terwijl verwerking binnen de EER (inclusief Noorwegen) er geen nodig heeft.
Houd het meldingsproces automatisch draaiend
Een sjabloon lost het opstelprobleem op; het verzendt zichzelf niet, handhaaft de bezwaartermijn niet en onthoudt niet wie is geïnformeerd. Dat is werk voor een Trust Center: een actueel subverwerkersregister, een abonneebestand van verwerkingsverantwoordelijken en FG's, gestructureerde wijzigingsmeldingen en een audittrail in één systeem. Het trust-updateproces van Orbiq verstuurt wijzigingsmeldingen voor subverwerkers naar geabonneerde verwerkingsverantwoordelijken, handhaaft de bezwaartermijn en bewaart het bewijs automatisch — zodat het sjabloon dat u hier downloadt een workflow wordt in plaats van een terugkerende handmatige taak.
Bronnen en verwijzingen
- Verordening (EU) 2016/679 (AVG) — artikel 28 — toestemming voor en meldplicht bij subverwerkers (28, lid 2), contractvoorwaarden (28, lid 3, onder d)), doorgifte in de keten en aansprakelijkheid (28, lid 4), schriftelijke vorm (28, lid 9).
- EDPB-advies 22/2024 over bepaalde verplichtingen die voortvloeien uit het inschakelen van verwerkers en subverwerkers — aangenomen op 7 oktober 2024; vereiste subverwerkersinformatie, proactieve en actuele lijsten, grenzen van geachte aanvaarding.
- Uitvoeringsbesluit (EU) 2021/914 van de Commissie — standaardcontractbepalingen voor doorgiften naar derde landen — het doorgiftemechanisme van artikel 46, lid 2, onder c), waarnaar het doorgifteveld van het sjabloon verwijst.
- Uitvoeringsbesluit (EU) 2021/915 van de Commissie — standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers — SCC's op grond van artikel 28, lid 7, inclusief voorwaarden voor het inschakelen van subverwerkers.
- ICO — Contracten en aansprakelijkheden tussen verwerkingsverantwoordelijken en verwerkers — de UK GDPR-positie, inclusief het vermelden van een bezwaartermijn.
- Datatilsynet — Noorse gegevensbeschermingsautoriteit — toezicht op de AVG in Noorwegen via de personopplysningsloven en de EER-overeenkomst.
Verder lezen
- AVG-wijzigingsmeldingen voor subverwerkers: het meldingsproces van artikel 28 — de volledige gids achter dit sjabloon
- Subverwerkerbeheer onder AVG-artikel 28: wat verwerkingsverantwoordelijken werkelijk verwachten
- AVG-artikelen 28, 32, 33 en 34: waarom een ISMS niet volstaat
- Trust Center voor juridische teams
Download dit sjabloon
Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels
Veelgestelde vragen
Wat moet een AVG-sjabloon voor een wijzigingsmelding van een subverwerker bevatten?
Volgens EDPB-advies 22/2024 heeft een conform sjabloon nodig: de naam en het geregistreerde adres van de subverwerker, een contactpersoon, een beschrijving van de dienst en de verwerking, de categorieën persoonsgegevens die worden geraakt, de verwerkingslocatie, het doorgiftemechanisme voor verwerking buiten de EER (SCC's of een adequaatheidsbesluit), de ingangsdatum en een duidelijk vermelde bezwaartermijn met de wijze waarop bezwaar kan worden gemaakt. Dit sjabloon bevat al deze onderdelen als invulvelden.
Bestaat er een wettelijke meldtermijn die ik in het sjabloon moet opnemen?
Nee. AVG-artikel 28 stelt geen vaste meldtermijn vast — de termijn wordt bepaald in uw verwerkersovereenkomst (DPA). In de Europese praktijk is de gebruikelijke termijn ongeveer 15 dagen, met 30 tot 60 dagen als het gangbare bereik dat door grote ondernemingen en gereguleerde klanten wordt bedongen, en 90 dagen steeds zeldzamer. Welke termijn u ook kiest, EDPB-advies 22/2024 verwacht dat die lang genoeg is voor een zinvol, geïnformeerd bezwaar.
Mag ik de subverwerkermelding per e-mail versturen?
Ja — e-mail is het standaardkanaal, en dit sjabloon bevat een kant-en-klare e-mailvariant van de subverwerkermelding. Juridisch telt dat de kennisgeving push is, geen pull: alleen een webpagina bijwerken vervult de plicht van artikel 28, lid 2, niet, tenzij dit wordt gecombineerd met een actieve waarschuwing die de verwerkingsverantwoordelijken tijdig bereikt om bezwaar te maken.
Wie moet een wijzigingsmelding voor een subverwerker goedkeuren voordat ze wordt verstuurd?
Het sjabloon wordt geleverd met een goedkeuringsworkflow in vier stappen: de juridische beoordeling bevestigt de DPA-voorwaarden en de bezwaarmechaniek, de FG (of privacy lead) verifieert de doorgifteanalyse en de door de EDPB verwachte velden, de subverwerkerslijst wordt bijgewerkt en gepubliceerd, en pas daarna wordt de melding verzonden aan alle geabonneerde verwerkingsverantwoordelijken, met de bezwaartermijn gestart en gelogd.
Werkt hetzelfde sjabloon ook voor Britse en Noorse klanten?
Ja. De UK GDPR bevat artikel 28 in dezelfde vorm, onder toezicht van de ICO, die verwacht dat het contract een bezwaartermijn vermeldt. Noorwegen past de AVG toe via de personopplysningsloven op grond van de EER-overeenkomst, onder toezicht van Datatilsynet, zonder soepelere nationale regel. Eén melding die is opgesteld naar de strengste lezing dekt verwerkingsverantwoordelijken in de EU, de EER en het VK.
Wat doe ik als een verwerkingsverantwoordelijke bezwaar maakt tegen de melding?
Volg het bezwaartraject dat in uw verwerkersovereenkomst is vastgelegd — het sjabloon bevat voorbeeldtekst voor de reactie. Het standaardmodel is dat de verwerker redelijke inspanningen levert om aan het bezwaar tegemoet te komen, bijvoorbeeld door de gegevens van die verwerkingsverantwoordelijke niet via de nieuwe subverwerker te leiden, en als er geen werkbare oplossing mogelijk is, mag de verwerkingsverantwoordelijke de betrokken diensten zonder boete beëindigen.