Verwerkersovereenkomsten of Data Processing Agreements (DPA's) zijn verplicht wanneer persoonlijke gegevens verwerkt worden tussen twee of meer partijen. Wie enigszins op de hoogte is van de GDPR-wetgeving is zich hiervan bewust. Toch krijgen we vaak de vraag hoe je een DPA het beste opstelt. In dit artikel krijg je een antwoord op de meestgestelde vragen rond DPA’s en leer je welke stappen je onderneemt om efficiënt tot een DPA te komen.
Verwerkersovereenkomsten of Data Processing Agreements (DPA's) zijn verplichte overeenkomsten die worden afgesloten tussen twee of meer partijen wanneer de ene partij persoonlijke gegevens (van derden) verwerkt voor een andere partij. Dit kan gaan over data in CRM-systemen, analytische systemen, Customer Data Platforms enzovoort.
Een DPA vertelt je onder andere wat verwacht wordt van de beide partijen op vlak van
Hoe je het best met zo'n document omgaat, ontdek je in de volgende 6 stappen.
De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) verplicht alle verwerkers van persoonlijke data in Europa om een DPA af te sluiten. Wanneer je nadenkt over met wie je een overeenkomst moet afsluiten zal je vaak aan eenvoudige partijen denken zoals jouw sociaal secretariaat of de partij die jouw hosting voorziet. Het is echter belangrijk dat je ook de minder voor de hand liggende partijen niet uit het oog verliest. Als bijvoorbeeld je afvalophaling ook gevoelige documenten vernietigt, dan is een DPA met hen waarschijnlijk aan de orde. Een handige manier om een volledig overzicht te krijgen van alle betrokken partijen, is een kijkje nemen naar de contracten binnen jouw organisatie. Geen idee hoe je daar aan begint? Deze handige contractchecklist geeft je een compleet overzicht van alle contracten die je mogelijks nodig hebt voor jouw evaluatie.
In jouw DPA moeten vanzelfsprekende gegevens staan zoals
Vergeet daarnaast niet dat je ook specifiekere informatie moet meegeven zoals het type persoonsgegevens, de datacategorieën en natuurlijk de verplichtingen en rechten van de verwerkingsverantwoordelijke. Voor een volledig overzicht van gegevens die je moet opnemen in de DPA, kan je terecht bij jouw bedrijfsjurist of Data Protection Officer (DPO).
Net zoals bij Non-Disclosure Agreements (NDA's) zijn er bij DPA’s 3 manieren waarop de overeenkomst tot stand kan komen:
Er is geen wettelijke beperking die bepaalt dat een DPA geen onderdeel kan zijn van een gewoon contract tussen de verwerker en de verantwoordelijke. Gezien de complexiteit van DPA's is het aan te raden om een apart document of bijlage toe te voegen aan het hoofdcontract. Zo kan je de gegevensverwerkingsovereenkomst gemakkelijk terugvinden en hoef je niet het volledige contract door te nemen op zoek naar een paragraaf of pagina. Bovendien moet je geen nieuwe DPA onderhandelen wanneer het bestaand contract, waar de DPA in stond of een bijlage van was, stopgezet wordt.
DPA's moeten steeds binnen handbereik zijn voor de juiste personen, ook al zit het verwerkt in de algemene voorwaarden of als deel van een grotere overeenkomst. Daar bovenop is het belangrijk dat je steeds op de hoogte bent van de duur van de overeenkomst. Een systeem zoals Excel of een document management systeem biedt hier niet de beste ondersteuning. Zeker indien je meer dan 100 contracten hebt of met verschillende departementen werkt. Een contractmanagementsysteem kan dan brede ondersteuning bieden door
Dit bespaart jou en jouw collega's niet alleen tijd, maar voorkomt ook dat je voor onaangename verrassingen komt te staan bij problemen met persoonsgegevens of datalekken.
Om te vermijden dat je hetzelfde werk vanaf 0 opnieuw moet doen bij een volgende samenwerking, raden we aan om de Data Protection Officer (DPO) te betrekken wanneer nieuwe contracten worden ondertekend of wanneer er met nieuwe partijen wordt samengewerkt. Zo is deze van in het begin op de hoogte en kan de DPO aanpassingen toevoegen waar nodig. Een andere mogelijkheid is om de finale check te doen voor ondertekening.