Wat is een DPA en waarom hebt u er een nodig? 

November 5, 2024

Een Verwerkersovereenkomst of DPA (Data Processing Agreement) is een juridisch bindende overeenkomst tussen een verwerkingsverantwoordelijke (meestal uw organisatie) en een verwerker (meestal een externe dienstverlener). 

Even een overzicht: 

Verwerkingsverantwoordelijken bepalen hoe en waarom persoonsgegevens worden verwerkt. 

Verwerkers voorzien de verwerkingsverantwoordelijke van een dienst en verwerken als onderdeel van die dienst de persoonsgegevens strikt zoals geïnstrueerd door de verwerkingsverantwoordelijke. 

In deze blogpost kijken we naar de redenen waarom u een DPA nodig heeft en een aantal van de meest voorkomende misverstanden die bij organisaties leven over het gebruik ervan. We bieden ook praktische informatie over wat u op zou moeten nemen in uw DPA.  

Of uw bedrijf nu een grote multinational is of een kleine startup, een verwerkingsverantwoordelijke of een gegevensverwerker, het begrijpen van de basics van een DPA is van essentieel belang voor een verantwoordelijke manier van gegevensverwerking en om te voldoen aan de privacywetgeving. 

Waarom hebt u een DPA nodig?

De belangrijkste reden voor een DPA (verwerkersovereenkomst of Data Processing Agreement) is naleving van de wet. 

A DPA is mandatory in the UK and all EU member states, but not in all jurisdictions worldwide. A DPA is a necessary requirement between controllers and processors operating under the General Data Protection Regulation (GDPR) in accordance with Article 28. 

Therefore, if your company is considered a data controller or a processor and processes data of individuals in the EU or the UK, you must have a DPA in place. 

Read more about controllers, processors and GDPR compliance here 

Minimizing risk is one of the main benefits of a DPA. 

Organizations can minimize the impact of a data breach or unauthorized access by ensuring clear definitions of the roles of controllers and processors, including the responsibilities and obligations, the data processing procedures, security measures, and the rights of the data subjects. A DPA is an essential component of a robust framework that is responsible for proper data processing.
Learn more about how to act in the event of a data breach
 

Protecting the rights of individuals is the foundation of privacy legislation. A DPA shows how your organization protects the rights of individuals using clearly defined processes and responsibilities.  

Building trust with stakeholders is an important aspect of data protection. Transparency creates trust, and a DPA assures you of that transparency by providing a detailed overview of the security measures and data protection protocols. 

Improving collaborations is an added benefit of a comprehensive and well-thought-out DPA. When both parties have a good understanding of their respective obligations, it creates an environment in which cooperation can develop and which reinforces an efficient way of processing data.  

Long-term business relationships work best when there is trust and each party’s roles are clearly defined and transparent. A DPA can be a support for your long-term business relationships. 

Veelvoorkomende misvattingen over DPA’s

De belangrijkste elementen van een DPA

DPA’s kunnen verschillen, afhankelijk van de specifieke context en vereisten van elke verwerkersovereenkomst. Er zijn echter een paar zaken die in elke overeenkomst aanwezig moeten zijn.  

Hier is een nuttig overzicht van de essentiële zaken die in uw DPA moeten staan: 

ESSENTIËLE DPA CONTENT 

BESCHRIJVING  

Moet een contract of ander juridisch bindend document zijn 

  • De DPA moet in schriftelijke vorm bestaan en uitgevoerd worden door beide partijen als een zelfstandige overeenkomst, of opgenomen worden als onderdeel van een ander(e) overeenkomst of contract. 

 Onderwerp en duur van de verwerking 

  • Benoem wat u wilt bereiken met de persoonsgegevens 
  • Benoem de duur van de overeenkomst, met de begin- en einddata 
  • Benoem de voorwaarden die aanleiding geven tot de beëindiging (bijv. stopzetten van de gegevensverwerking) 

Aard en beoogd doel van de gegevensverwerking 

  • Licht de context toe (bijv. marketinganalyses, salarisadministratie) 
  • Benoem zo nauwkeurig mogelijk de beoogde resultaten (bijv. het verbeteren van diensten, wettelijke verplichtingen) 

Categorieën van betrokkenen 

  • Specifieer van wie u de gegevens verwerkt (bijv. werknemers, klanten, sollicitanten) 

Soort persoonsgegevens 

  • Specifieer het soort persoonsgegevens (bijv. namen, adressen, financiële gegevens) 
  • Denk ook aan gevoelige gegevens (bijv. informatie over gezondheid of herkomst/etniciteit) 

Verplichtingen en verantwoordelijkheden 

  • Benoem de specifieke verplichtingen en verantwoordelijkheden van zowel de verwerkingsverantwoordelijke als de verwerker, waaronder: 
  • Persoonsgegevens alleen verwerken na instructie van de verwerkingsverantwoordelijke 
  • Garanderen dat personen met toegang tot de gegevens zich houden aan de vertrouwelijkheid 
  • Alle informatie beschikbaar maken voor de verwerkingsverantwoordelijke die nodig is om compliance aan te tonen met de verplichtingen die in dit artikel uiteen worden gezet 
  • Het mogelijk maken van audits of inspecties uitgevoerd door de verwerkingsverantwoordelijke of geautoriseerde vertegenwoordiger 
  • De verwerkingsverantwoordelijke op de hoogte brengen indien, naar diens mening, er instructies zijn die de gegevensbescherming of gegevensbeschermingsbepalingen van lidstaten schenden of overtreden 
  • De verwerkingsverantwoordelijke helpen bij het voldoen aan diens verplichting om te reageren op verzoeken van betrokkenen om diens rechten uit te oefenen 

Technische en organisatorische maatregelen 

  • De verwerkersverantwoordelijke assisteren bij de naleving van de verplichtingen van Artikel 32 – 36, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de verwerker 
  • Hulp bieden aan de verwerkersverantwoordelijke bij het uitvoeren van een DPIA (Data Protection Impact Assessment), indien nodig 
  • Specificeren wie toegang heeft tot de gegevens en onder welke omstandigheden 
  • Beschrijven van de procedures voor het snel rapporteren van een lek, waaronder de tijd waarbinnen aan de verwerkersverantwoordelijke gerapporteerd moet worden, waardoor zij kunnen autoriteiten zo nodig kunnen informeren binnen de wettelijk vastgestelde tijdslimiet van 72 uur 
  • Beschrijven van de aanvullende veiligheidsmaatregelen (bijv. versleuteling), idealiter als bijlage bij de verwerkingsovereenkomst 

Internationale gegevensoverdrachten 

  • Detailleren hoe gegevensoverdrachten over landsgrenzen voldoen aan de regelgeving (bijv. op basis van SCC’s, BCR’s, adequaatheid) 

Bewaren en verwijderen van gegevens 

  • Benoem hoelang de gegevens bewaard worden (bijv. op basis van wettelijke vereisten en de behoeften van het bedrijf) 
  • Benoem de voorwaarden en het proces voor het veilig wissen van gegevens of het teruggeven van de gegevens aan de verwerkingsverantwoordelijke 

Gebruik van subverwerkers 

  • Stel vast of een andere verwerker ingeschakeld kan worden, al dan niet zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke 
  • Toestaan dat de verwerkingsverantwoordelijke bezwaar maakt, binnen een redelijk tijdsbestek, tegen het gebruik van een bepaalde subverwerker 
  • Garanderen dat het contract met de subverwerker aan dezelfde of gelijkwaardige voorwaarden voldoet en de juiste internationale overdrachtsmechanismes incorporeert, waar van toepassing 
  • Bevestigen dat de verwerker aansprakelijk is voor elk gebrek van diens subverwerker 
  • Verzoeken om een lijst van subverwerkers die door de verwerker worden gebruikt 

Gebruik van een DPA-sjabloon

There are several general sample DPAs online that organizations can use. 

The DPO Centre has a FREE GDPR policy toolkit that includes an example of a DPA or Data Processing Agreement. 

These examples are a useful starting point for organizations, but we recommend that you seek professional advice before using the DPA. Don’t use a sample DPA without personalizing it. 

DPAs should address the specific needs, legal requirements and risks of the relationships between individual controllers and processors. Therefore, an example or template should be customized to accurately reflect the unique context of each organization’s data processing activities. 

Updated: June 7, 2024 

The DPO Centre offers a wide range of external data protection services, including a Data Protection Officer (DPO) and EU and UK representatives.  

Our experienced Data Protection Officers work with organisations across a range of industries to implement best practices and ensure compliance with data protection laws. 

 

Follow The DPO Centre on LinkedIn for more data protection news and insights 

Scroll to Top