Wat is een DPA en waarom hebt u er een nodig? 

November 5, 2024

Een Verwerkersovereenkomst of DPA (Data Processing Agreement) is een juridisch bindende overeenkomst tussen een verwerkingsverantwoordelijke (meestal uw organisatie) en een verwerker (meestal een externe dienstverlener). 

Even een overzicht: 

Verwerkingsverantwoordelijken bepalen hoe en waarom persoonsgegevens worden verwerkt. 

Verwerkers voorzien de verwerkingsverantwoordelijke van een dienst en verwerken als onderdeel van die dienst de persoonsgegevens strikt zoals geïnstrueerd door de verwerkingsverantwoordelijke. 

In deze blogpost kijken we naar de redenen waarom u een DPA nodig heeft en een aantal van de meest voorkomende misverstanden die bij organisaties leven over het gebruik ervan. We bieden ook praktische informatie over wat u op zou moeten nemen in uw DPA.  

Of uw bedrijf nu een grote multinational is of een kleine startup, een verwerkingsverantwoordelijke of een gegevensverwerker, het begrijpen van de basics van een DPA is van essentieel belang voor een verantwoordelijke manier van gegevensverwerking en om te voldoen aan de privacywetgeving. 

Waarom hebt u een DPA nodig?

De belangrijkste reden voor een DPA (verwerkersovereenkomst of Data Processing Agreement) is naleving van de wet. 

Een DPA is verplicht in het VK en alle EU-lidstaten, maar niet in alle rechtsgebieden wereldwijd. Een DPA is een noodzakelijke vereiste tussen verwerkingsverantwoordelijken en verwerkers die actief zijn onder de Algemene Verordening Gegevensbescherming (AVG) in overeenstemming met Artikel 28. 

Daarom moet u, als uw bedrijf beschouwd wordt als een verwerkersverantwoordelijke of een verwerker en gegevens verwerkt van individuen in de EU of het VK, over een DPA beschikking. 

Lees hier meer over verwerkersverantwoordelijken, verwerkers en naleving van de AVG 

Het minimaliseren van risico’s is een van de belangrijkste voordelen van een DPA. 

Organisaties kunnen de impact van een datalek of ongeautoriseerde toegang minimaliseren door te zorgen voor duidelijke definities van de rollen van verwerkersverantwoordelijke en verwerkers, inclusief de verantwoordelijkheden en verplichtingen, de gegevensverwerkingsprocedures, beveiligingsmaatregelen en de rechten van de betrokkenen. Een DPA is een essentiële component van een robuust framework dat verantwoordelijk is voor een juiste manier van gegevensverwerking. 

Meer informatie over hoe te handelen bij een datalek  

Bescherming van de rechten van individuen is het fundament van de privacywetgeving. Een DPA laat zien hoe uw organisatie de rechten van individuen beschermt met behulp van duidelijk gedefinieerde processen en verantwoordelijkheden. 

Opbouwen van vertrouwen bij belanghebbenden is een belangrijk aspect van gegevensbescherming. Transparantie zorgt voor vertrouwen en een DPA verzekert u van die transparantie door een gedetailleerd overzicht te bieden van de beveiligingsmaatregelen en gegevensbeschermingsprotocollen. 

Verbetering van samenwerkingen is een bijkomend voordeel van een uitgebreide en goed doordachte DPA. Wanneer beide partijen hun respectievelijke verplichtingen goed begrijpen, ontstaat er een omgeving waarin samenwerking kan ontstaan en die een efficiënte manier van gegevensverwerking versterkt. 

Langdurige zakelijke relaties werken het beste als er sprake is van vertrouwen en de rollen van elke partij duidelijk gedefinieerd en transparant zijn. Een DPA kan een ondersteuning zijn van uw langdurige zakelijke relaties. 

Veelvoorkomende misvattingen over DPA’s

De belangrijkste elementen van een DPA

DPA’s kunnen verschillen, afhankelijk van de specifieke context en vereisten van elke verwerkersovereenkomst. Er zijn echter een paar zaken die in elke overeenkomst aanwezig moeten zijn.  

Hier is een nuttig overzicht van de essentiële zaken die in uw DPA moeten staan: 

ESSENTIËLE DPA CONTENT 

BESCHRIJVING  

Moet een contract of ander juridisch bindend document zijn 

  • De DPA moet in schriftelijke vorm bestaan en uitgevoerd worden door beide partijen als een zelfstandige overeenkomst, of opgenomen worden als onderdeel van een ander(e) overeenkomst of contract. 

 Onderwerp en duur van de verwerking 

  • Benoem wat u wilt bereiken met de persoonsgegevens 
  • Benoem de duur van de overeenkomst, met de begin- en einddata 
  • Benoem de voorwaarden die aanleiding geven tot de beëindiging (bijv. stopzetten van de gegevensverwerking) 

Aard en beoogd doel van de gegevensverwerking 

  • Licht de context toe (bijv. marketinganalyses, salarisadministratie) 
  • Benoem zo nauwkeurig mogelijk de beoogde resultaten (bijv. het verbeteren van diensten, wettelijke verplichtingen) 

Categorieën van betrokkenen 

  • Specifieer van wie u de gegevens verwerkt (bijv. werknemers, klanten, sollicitanten) 

Soort persoonsgegevens 

  • Specifieer het soort persoonsgegevens (bijv. namen, adressen, financiële gegevens) 
  • Denk ook aan gevoelige gegevens (bijv. informatie over gezondheid of herkomst/etniciteit) 

Verplichtingen en verantwoordelijkheden 

  • Benoem de specifieke verplichtingen en verantwoordelijkheden van zowel de verwerkingsverantwoordelijke als de verwerker, waaronder: 
  • Persoonsgegevens alleen verwerken na instructie van de verwerkingsverantwoordelijke 
  • Garanderen dat personen met toegang tot de gegevens zich houden aan de vertrouwelijkheid 
  • Alle informatie beschikbaar maken voor de verwerkingsverantwoordelijke die nodig is om compliance aan te tonen met de verplichtingen die in dit artikel uiteen worden gezet 
  • Het mogelijk maken van audits of inspecties uitgevoerd door de verwerkingsverantwoordelijke of geautoriseerde vertegenwoordiger 
  • De verwerkingsverantwoordelijke op de hoogte brengen indien, naar diens mening, er instructies zijn die de gegevensbescherming of gegevensbeschermingsbepalingen van lidstaten schenden of overtreden 
  • De verwerkingsverantwoordelijke helpen bij het voldoen aan diens verplichting om te reageren op verzoeken van betrokkenen om diens rechten uit te oefenen 

Technische en organisatorische maatregelen 

  • De verwerkersverantwoordelijke assisteren bij de naleving van de verplichtingen van Artikel 32 – 36, rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de verwerker 
  • Hulp bieden aan de verwerkersverantwoordelijke bij het uitvoeren van een DPIA (Data Protection Impact Assessment), indien nodig 
  • Specificeren wie toegang heeft tot de gegevens en onder welke omstandigheden 
  • Beschrijven van de procedures voor het snel rapporteren van een lek, waaronder de tijd waarbinnen aan de verwerkersverantwoordelijke gerapporteerd moet worden, waardoor zij kunnen autoriteiten zo nodig kunnen informeren binnen de wettelijk vastgestelde tijdslimiet van 72 uur 
  • Beschrijven van de aanvullende veiligheidsmaatregelen (bijv. versleuteling), idealiter als bijlage bij de verwerkingsovereenkomst 

Internationale gegevensoverdrachten 

  • Detailleren hoe gegevensoverdrachten over landsgrenzen voldoen aan de regelgeving (bijv. op basis van SCC’s, BCR’s, adequaatheid) 

Bewaren en verwijderen van gegevens 

  • Benoem hoelang de gegevens bewaard worden (bijv. op basis van wettelijke vereisten en de behoeften van het bedrijf) 
  • Benoem de voorwaarden en het proces voor het veilig wissen van gegevens of het teruggeven van de gegevens aan de verwerkingsverantwoordelijke 

Gebruik van subverwerkers 

  • Stel vast of een andere verwerker ingeschakeld kan worden, al dan niet zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke 
  • Toestaan dat de verwerkingsverantwoordelijke bezwaar maakt, binnen een redelijk tijdsbestek, tegen het gebruik van een bepaalde subverwerker 
  • Garanderen dat het contract met de subverwerker aan dezelfde of gelijkwaardige voorwaarden voldoet en de juiste internationale overdrachtsmechanismes incorporeert, waar van toepassing 
  • Bevestigen dat de verwerker aansprakelijk is voor elk gebrek van diens subverwerker 
  • Verzoeken om een lijst van subverwerkers die door de verwerker worden gebruikt 

Gebruik van een DPA-sjabloon

Er zijn online verschillende algemene voorbeeld-DPA’s te vinden die organisaties kunnen gebruiken. 

The DPO Centre heeft een GRATIS AVG-beleid toolkit met daarin een voorbeeld van een DPA of Data Processing Agreement. 

Deze voorbeelden zijn een handig startpunt voor organisaties, maar we raden u aan om professioneel advies in te winnen voordat u de DPA gebruikt. Gebruik geen voorbeeld-DPA zonder deze te personaliseren. 

DPA’s moeten ingaan op de specifieke behoeften, wettelijke vereisten en risico’s van de relaties tussen individuele verwerkingsverantwoordelijken en verwerkers. Daarom moet een voorbeeld of sjabloon aangepast worden zodat deze nauwkeuring de unieke context weerspiegelt van de gegevensverwerkingsactiviteiten van elke organisatie. 

Bijgewerkt: 7 juni 2024 

The DPO Centre biedt een breed scala aan externe gegevensbeschermingsdiensten, waaronder een Functionaris Gegevensbescherming (DPO) en EU en VK vertegenwoordigers.  

Onze ervaren Functionarissen Gegevensbescherming werken met organisaties in allerlei sectoren om best practices te implementeren en compliance met de gegevensbeschermingswetgeving te garanderen. 

 Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

Scroll to Top