Skip to main content

Gegevensverwerkingsovereenkomst (DPA)

TL;DR

De gegevensverwerkingsovereenkomst, of kortweg DPA, is een juridisch bindend contract tussen een bedrijf en een externe gegevensverwerker, bedoeld om gegevensprivacy te reguleren met betrekking tot AVG-compliance.

Wat is de Verwerkersovereenkomst (DPA)?

Elk bedrijf dat online aanwezig is, vertrouwt op derden om goed te kunnen functioneren. Die derde partijen kunnen van alles zijn, van een e-mailprovider tot een website-analysetool of een chattool, enz.; eigenlijk elk hulpmiddel dat de persoonlijke gegevens van de gebruiker verwerkt. Er moet een gegevensverwerkingsovereenkomst worden ondertekend tussen dat bedrijf (beheerder) en elke derde partij (verwerker) om ervoor te zorgen dat de gegevens correct worden opgeslagen en niet worden misbruikt, verkocht of kwetsbaar zijn voor aanvallen. Dit is een van de meest elementaire stappen om GDPR-compatibel te zijn.

De meeste van deze tools van derden stellen DPA's beschikbaar op hun websites om te worden gedownload en ondertekend. Dit is bijvoorbeeld de DPA voor bezoekersanalyse: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. De ondertekende DPA kan meestal ook via e-mail worden aangevraagd.

Als u uw eigen gegevensverwerkingsovereenkomst moet maken, kunt u de officiële sjabloon downloaden van https://gdpr.eu/data-processing-agreement/. Elke organisatie kan dit document gebruiken om GDPR-compliant te zijn en dure boetes te vermijden.

De Verwerkersovereenkomst is van toepassing op bedrijven die gegevens uit de Europese Unie opslaan en/of verwerken en behandelt de volgende zaken met betrekking tot de Verwerker:

  • er moet voldoende informatiebeveiliging zijn;
  • geen subverwerkers mogen de gegevens gebruiken zonder toestemming van de Verantwoordelijke;
  • waar nodig moet worden samengewerkt met de gegevensbeschermingsautoriteiten;
  • datalekken dienen onverwijld aan Verantwoordelijke te worden gemeld;
  • er moet een register worden bijgehouden van alle verwerkingsactiviteiten;
  • naleving van de EU-regels voor gegevensoverdracht;
  • assistentie voor de Verantwoordelijke bij het managen van mogelijke datalekken.

Meer uitgebreide informatie hierover vindt u hier: https://gdpr.eu/article-28-processor/.