Skip to main content

Gegevensverwerkingsovereenkomst (DPA)

TL;DR

De gegevensverwerkingsovereenkomst, of kortweg DPA, is een juridisch bindend contract tussen een bedrijf en een externe gegevensverwerker, bedoeld om gegevensprivacy te reguleren met betrekking tot naleving van de AVG.

Wat is de Verwerkersovereenkomst (GVO)?

Elk bedrijf dat online aanwezig is, is afhankelijk van derden om goed te functioneren. Die derde partijen kunnen van alles zijn, van een e-mailprovider tot een tool voor websiteanalyse of een chattool, enz.; eigenlijk elk hulpmiddel dat de persoonlijke gegevens van de gebruiker verwerkt. Er moet een gegevensverwerkingsovereenkomst worden ondertekend tussen dat bedrijf (verwerkingsverantwoordelijke) en elke derde partij (verwerker) om ervoor te zorgen dat de gegevens correct worden opgeslagen en niet worden misbruikt, verkocht of kwetsbaar voor aanvallen. Dit is een van de meest elementaire stappen om aan de AVG te voldoen.

De meeste van deze tools van derden stellen DPA's beschikbaar op hun websites om te downloaden en te ondertekenen. De ondertekende GVO kan meestal ook per e-mail worden opgevraagd.

Als u uw eigen gegevensverwerkingsovereenkomst moet opstellen, kan de officiële sjabloon worden gedownload van https://gdpr.eu/data-processing-agreement/. Elke organisatie mag dit document gebruiken om GDPR-compliant te zijn en hoge boetes te voorkomen.

De Verwerkersovereenkomst is van toepassing op bedrijven die gegevens uit de Europese Unie opslaan en/of verwerken en behandelt de volgende zaken met betrekking tot de Verwerker:

  • er moet voldoende informatiebeveiliging aanwezig zijn;
  • geen subverwerkers mogen de gegevens gebruiken zonder toestemming van de Verwerkingsverantwoordelijke;
  • waar nodig moet worden samengewerkt met de gegevensbeschermingsautoriteiten;
  • datalekken dienen direct te worden gemeld aan de Verwerkingsverantwoordelijke;
  • Er moet een register worden bijgehouden van alle verwerkingsactiviteiten;
  • naleving van de EU-regels voor gegevensoverdracht;
  • assistentie voor de Verwerkingsverantwoordelijke bij het beheersen van mogelijke datalekken.

Meer uitgebreide informatie hierover vindt u hier: https://gdpr.eu/article-28-processor/.