Wat is een DPA (verwerkersovereenkomst)?

Een DPA (Data Processing Agreement) onder de AVG (Algemene Verordening Gegevensbescherming) is een juridisch contract dat een bedrijf moet ondertekenen wanneer het samenwerkt met een externe gegevensverwerker. In het Nederlands spreken we over het algemeen over een verwerkersovereenkomst. Het contract zorgt ervoor dat de gegevensverwerker de gegevens behandelt in overeenstemming met de AVG-richtlijnen.

Gegevens zijn een van de meest waardevolle activa die een bedrijf kan bezitten. Om een mogelijke gegevensinbreuk of misbruik te voorkomen, moeten alle bedrijven die persoonlijke gegevens verwerken een (standaard) verwerkersovereenkomst. hebben.

Een verwerkersovereenkomst is geldig zowel in geschreven vorm als in elektronische vorm. Het belangrijkste doel is om te bepalen hoe de gegevensverwerker de door het bedrijf verstrekte gegevens zal behandelen. Het omvat details over de duur van de verwerkingsactiviteiten, de reikwijdte van de gegevens, het doel ervan en eventuele andere entiteiten die toegang zullen hebben tot de gegevens.

In Europa is het een wettelijke vereiste om een DPA verwerkersovereenkomst op zijn plaats te hebben. In andere landen is het geen wettelijke vereiste, maar wordt het ten zeerste aanbevolen dat alle partijen hun verantwoordelijkheden volledig begrijpen met betrekking tot het verzamelen, gebruiken en beschermen van persoonlijke gegevens, en de gevolgen als er ooit een incident met persoonlijke gegevens zou plaatsvinden.

Waarom is een verwerkingsovereenkomst nodig?

Een DPA verwerkingsovereenkomst zorgt ervoor dat de juiste beveiligingsmaatregelen op hun plaats zijn en dat de verwerkingsactiviteiten van gegevens AVG-compliant zijn.

Stel dat een bedrijf klantgegevensverwerkingsactiviteiten wil uitbesteden aan een derde partij, zoals een cloudservice. In dat geval moet een verwerkersovereenkomst eerst ondertekend worden. Het DPA-document zorgt ervoor dat de derde partij informatiebeveiliging garandeert bij het verwerken van de persoonlijke gegevens, beveiligingsincidenten voorkomt en voldoet aan alle toepasselijke gegevensbeschermingswetten.

Vrijwel elk bedrijf vertrouwt op derden voor het verwerken van persoonlijke gegevens. Sommigen gebruiken software voor websiteanalyse, terwijl anderen hun gegevens opslaan bij een cloudopslagprovider. Hoe een bedrijf ook besluit zijn persoonlijke gegevens te verwerken, het moet een gegevensverwerkingsovereenkomst hebben met elk van deze services om AVG-compliant te zijn.

Elke keer dat je een specifieke gegevensset wilt overdragen aan een derde partij om te worden verwerkt, moet je een DPA verwerkersovereenkomst opstellen en ondertekenen met de derde partij. Deze overeenkomst beschermt je in geval van een gegevensbeveiligingsinbreuk.

Wie ondertekent een verwerkersovereenkomst?

Het bedrijf (gegevensbeheerder), de gegevensverwerker en eventuele subverwerkers moeten de DPA ondertekenen.

Wat gebeurt er als je geen verwerkersovereenkomst ondertekent?

Als je geen overeenkomst hebt ondertekend met je gegevensverwerker en zij de gegevens verkeerd behandelen, kun je aansprakelijk zijn voor de gegevensinbreuk omdat je geen adequate maatregelen hebt genomen om gegevensbescherming te waarborgen.

Naast financiële consequenties zal je bedrijf reputatieschade lijden en kun je het vertrouwen van je klanten verliezen, die in de toekomst misschien terughoudend zijn om hun persoonlijke informatie met je te delen.

Veelgestelde vragen over een verwerkersovereenkomst

Wat is een gegevensbeheerder?

Een gegevensbeheerder is een persoon of bedrijf dat eigenaar is van de gegevens. Gegevensbeheerders worden ook wel gegevensexporteurs genoemd. Ze huren een externe gegevensverwerker in en geven hen toegang tot de gegevens.

Zoals de naam al doet vermoeden, controleert de gegevensbeheerder en bepaalt het doel van de gegevens. Het beslist ook hoe de gegevensverwerker de informatie van de betrokkene zal verwerken, wat kan variëren afhankelijk van de verplichtingen en rechten van de beheerder, het type persoonsgegevens en categorieën van betrokkenen.

Wat is een gegevensverwerker?

De gegevensverwerker is een externe dienstverlener die de gegevens voor de beheerder verwerkt. In sommige gevallen kunnen zelfstandige contractanten worden beschouwd als een verwerker.

De gegevensverwerker moet de gegevens behandelen volgens de voorwaarden van het contract dat door de gegevensbeheerder is vastgesteld. Aan het einde van het contract moet de gegevensverwerker de verwerkte gegevens verwijderen of retourneren.

Wat is AVG?

AVG staat voor Algemene Verordening Gegevensbescherming, een wet op de gegevensprivacy die in 2018 door de Europese Unie is ingevoerd. Het is de strengste privacy- en beveiligingswet ter wereld en legt verplichtingen op aan organisaties, zolang ze gegevens targeten of verzamelen met betrekking tot mensen in de EU.

De nieuwe regelgeving had invloed op veel bedrijven wereldwijd die toegang hadden tot de persoonlijke gegevens van hun klanten. Sindsdien moeten bedrijven een grondige herziening van bedrijfsprocessen en documentatie uitvoeren om ervoor te zorgen dat hun beleid en procedures voldoen aan de nieuwe richtlijnen met betrekking tot vertrouwelijke informatie van betrokkenen.

Wat is klantgegevensverwerking?

Om een verwerkersovereenkomst correct op te stellen, moet je weten wat gegevensverwerking inhoudt. De term omvat gegevensverzameling, opslag of registratie, gegevensorganisatie, monetisatie, gegevensgebruik of verwijdering en elke andere activiteit gerelateerd aan het verwerken van persoonlijke gegevens. Het is cruciaal om ervoor te zorgen dat het bedrijf van de gegevensverwerker de juridische basis voor het verwerken van deze gegevens niet schendt, d.w.z. dat ze zich houden aan het oorspronkelijke doel van de activiteit.

Is klantgegevensverwijdering toegestaan?

Gegevensverwijdering is een gegevensverwerkingsactiviteit die onder de AVG valt. Onwettige vernietiging van klantgegevens kan resulteren in een boete.

Welke persoonlijke gegevens vallen onder de verwerkersovereenkomst?

Alle gegevens die je kunnen helpen de persoon te identificeren wiens gegevens worden verwerkt, vallen onder de verwerkersovereenkomst. Zelfs als je pseudonieme informatie over je klanten verwerkt, valt dit onder de DPA in geval je een natuurlijke persoon achter het pseudoniem kunt identificeren.

Wat gebeurt er als er een gegevensbeveiligingsinbreuk is?

De gegevensimporteur en de exporteur moeten te allen tijde samenwerken om maximale beveiliging voor de gegevens waarvoor ze verantwoordelijk zijn te waarborgen. Echter, als er een inbreuk is, moet de gegevensverwerker de gegevensbeheerder informeren over een dergelijk evenement en mag deze informatie onder geen enkele omstandigheid achterhouden. Indien mogelijk, moeten ze de gegevensbeheerder assisteren bij de beoordeling van de impact van gegevensbescherming en samenwerken met de autoriteiten in geval van een audit.

Zelfs als er geen inbreuk is, wordt een functionaris voor gegevensbescherming aangesteld bij de gegevensverwerker zoals de AVG vereist. Door strikt de instructies van de beheerder te volgen, kan de gegevensverwerker alle procedures zoals gepland volgen.

Zijn er boetes als je niet voldoet aan de AVG?

Ja, die zijn er. Boetes voor niet-naleving van de AVG zijn uiterst streng. Ze kunnen bedrijven tot €20 miljoen euro kosten, of 4% van hun wereldwijde omzet.

Daarnaast, als een bedrijf schuldig wordt bevonden aan het niet volgen van de AVG, geven de rechten van de betrokkenen hen recht op schadevergoeding.

Genereer en verzamel ondertekende DPA's met Deel

Je kunt snel een verwerkersovereenkomst opstellen voor elke freelancer op het Deel-platform. Je wordt gevraagd om details in te vullen om het contract aan te passen. Deel verzamelt dan veilig de vereiste handtekeningen voor veilige archivering.

Bekijk ook eens:

• Fulltime uren
• FTE

Disclaimer: Deze inhoud wordt alleen gepubliceerd voor informatieve doeleinden en is niet bedoeld als juridisch of fiscaal advies. Raadpleeg een professional voor begeleiding.