Verwerkersovereenkomsten of Data Processing Agreements (DPA's) zijn verplicht wanneer persoonlijke gegevens verwerkt worden tussen twee of meer partijen. Wie enigszins op de hoogte is van de GDPR-wetgeving is zich hiervan bewust. Toch krijgen we vaak de vraag hoe je een DPA het beste opstelt. In dit artikel krijg je een antwoord op de meestgestelde vragen rond DPA’s en leer je welke stappen je onderneemt om efficiënt tot een DPA te komen.
Wat is een Data Processing Agreement (DPA)?
Verwerkersovereenkomsten of Data Processing Agreements (DPA's) zijn verplichte overeenkomsten die worden afgesloten tussen twee of meer partijen wanneer de ene partij persoonlijke gegevens (van derden) verwerkt voor een andere partij. Dit kan gaan over data in CRM-systemen, analytische systemen, Customer Data Platforms enzovoort.
Een DPA vertelt je onder andere wat verwacht wordt van de beide partijen op vlak van
- gegevensbeveiliging,
- waar de data bewaard wordt,
- auditmogelijkheden en
- bij wie de verantwoordelijkheid ligt als er een probleem is zoals een datalek.
Hoe je het best met zo'n document omgaat, ontdek je in de volgende 6 stappen.
STAP 1: met welke partijen heb je een DPA nodig?
De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) verplicht alle verwerkers van persoonlijke data in Europa om een DPA af te sluiten. Wanneer je nadenkt over met wie je een overeenkomst moet afsluiten zal je vaak aan eenvoudige partijen denken zoals jouw sociaal secretariaat of de partij die jouw hosting voorziet. Het is echter belangrijk dat je ook de minder voor de hand liggende partijen niet uit het oog verliest. Als bijvoorbeeld je afvalophaling ook gevoelige documenten vernietigt, dan is een DPA met hen waarschijnlijk aan de orde. Een handige manier om een volledig overzicht te krijgen van alle betrokken partijen, is een kijkje nemen naar de contracten binnen jouw organisatie. Geen idee hoe je daar aan begint? Deze handige contractchecklist geeft je een compleet overzicht van alle contracten die je mogelijks nodig hebt voor jouw evaluatie.
STAP 2: Wat moet er in een DPA staan?
In jouw DPA moeten vanzelfsprekende gegevens staan zoals
-
het onderwerp van de overeenkomst en de gegevensverwerking.
-
de duur van de gegevensverwerking.
-
de aard en het doel van de verwerking.
Vergeet daarnaast niet dat je ook specifiekere informatie moet meegeven zoals het type persoonsgegevens, de datacategorieën en natuurlijk de verplichtingen en rechten van de verwerkingsverantwoordelijke. Voor een volledig overzicht van gegevens die je moet opnemen in de DPA, kan je terecht bij jouw bedrijfsjurist of Data Protection Officer (DPO).
STAP 3: Stel je de DPA apart op of als deel van de hoofdovereenkomst?
Net zoals bij Non-Disclosure Agreements (NDA's) zijn er bij DPA’s 3 manieren waarop de overeenkomst tot stand kan komen:
-
De DPA-afspraken zitten verwerkt in de algemene voorwaarden van je eigen organisatie of van de tegenpartij. Voorbeelden zijn Amazon, Google, Office 365,...
-
De DPA is een aparte overeenkomst en is dus niet gelinkt aan een andere, bestaande overeenkomst.
-
De DPA is een addendum aan een bestaand contract en is hier dus aan gelinkt.
Er is geen wettelijke beperking die bepaalt dat een DPA geen onderdeel kan zijn van een gewoon contract tussen de verwerker en de verantwoordelijke. Gezien de complexiteit van DPA's is het aan te raden om een apart document of bijlage toe te voegen aan het hoofdcontract. Zo kan je de gegevensverwerkingsovereenkomst gemakkelijk terugvinden en hoef je niet het volledige contract door te nemen op zoek naar een paragraaf of pagina. Bovendien moet je geen nieuwe DPA onderhandelen wanneer het bestaand contract, waar de DPA in stond of een bijlage van was, stopgezet wordt.
STAP 4: Hoe volg je de DPA op?
DPA's moeten steeds binnen handbereik zijn voor de juiste personen, ook al zit het verwerkt in de algemene voorwaarden of als deel van een grotere overeenkomst. Daar bovenop is het belangrijk dat je steeds op de hoogte bent van de duur van de overeenkomst. Een systeem zoals Excel of een document management systeem biedt hier niet de beste ondersteuning. Zeker indien je meer dan 100 contracten hebt of met verschillende departementen werkt. Een contractmanagementsysteem kan dan brede ondersteuning bieden door
-
de juiste lees- of toegangsrechten aan te wijzen aan de juiste personen.
-
aan te geven van wie je een DPA verwacht en nog geen hebt.
-
alle gewenste contracten of clausules in enkele klikken terug te vinden.
Dit bespaart jou en jouw collega's niet alleen tijd, maar voorkomt ook dat je voor onaangename verrassingen komt te staan bij problemen met persoonsgegevens of datalekken.
STAP 5: Hoe vermijd je dubbel werk in de toekomst?
Om te vermijden dat je hetzelfde werk vanaf 0 opnieuw moet doen bij een volgende samenwerking, raden we aan om de Data Protection Officer (DPO) te betrekken wanneer nieuwe contracten worden ondertekend of wanneer er met nieuwe partijen wordt samengewerkt. Zo is deze van in het begin op de hoogte en kan de DPO aanpassingen toevoegen waar nodig. Een andere mogelijkheid is om de finale check te doen voor ondertekening.
.png?width=200&height=263&name=DPA-mockup1%20(1).png)
Wil je meer weten over DPA's en hoe je doordacht te werk kan gaan?
Download onze volledige gids hier.
