Gegevensverwerkingsovereenkomst:
7 Elementen Die Elke DPA Zou Moeten Hebben

Published: March 19, 2019 Updated: April 30, 2019 Auteur Categorie Data Privacy & Security, GDPR/AVG

Als u wilt weten hoe u een rechtmatige gegevensverwerkingsovereenkomst moet opstellen, bent u op de juiste plek. In dit blogbericht zullen we u door alle belangrijke elementen van een DPA (Data Processing Agreement) leiden onder AVG.

AVG legt veel verplichtingen op aan bedrijven die persoonlijke gegevens over hun klanten willen verzamelen en gebruiken (we hebben ze behandeld in tal van berichten op onze blog, kijk hier zeker eens naar). Een van de belangrijkste verplichtingen is het ondertekenen van DPA’s met elke andere entiteit die toegang heeft tot deze gegevens.

Indien deze term geen belletje doet rinkelen – een gegevensverwerkingsovereenkomst (DPA) of in opdracht gegeven gegevensverwerkingsclausule is een juridisch bindend document ondertekend tussen twee belangrijke gegevensverwerkende actoren onder AVG – de verantwoordelijke en de verwerker.

Het regelt de bijzonderheden van gegevensverwerking, zoals de reikwijdte en het doel ervan, evenals de relatie tussen deze actoren. Bovendien kent het
bepaalde verplichtingen toe die door de verordening worden vereist.

Wanneer heb u een DPA nodig?

Wanneer een gegevensverwerker alle bewerkingen namens een gegevensverantwoordelijke uitvoert (dat zou het geval zijn met CRM’s, CDP’s, analyses en vele andere soorten hulpmiddelen die zijn ontworpen om gebruikersgedrag te analyseren), moet u een schriftelijk contract hebben.

Het contract is belangrijk, zodat beide partijen hun rol begrijpen in het omgaan met de persoonlijke gegevens van gebruikers, evenals verplichtingen die eruit voortvloeien. Het zorgt ervoor dat de keten van verantwoordelijkheid duidelijk is voor elke deelnemer in het proces.

Dit is niet echt iets nieuws, aangezien het ondertekenen van dit soort document vereist is door vele andere voorschriften inzake gegevensprivacy, waaronder de Britse wet op gegevensbescherming en de voorganger van AVG – Richtlijn 95/46/EG inzake gegevensbescherming.

Onder AVG zijn de contractvereisten echter breder en beperken ze zich niet langer tot het waarborgen van de beveiliging van persoonlijke gegevens. Ze zijn ook bedoeld om aan te tonen dat elke partij de bijzonderheden van de verordening in acht neemt.

Volgens het Britse Information Commissioner’s Office:

Contracten tussen verantwoordelijken en verwerkers zorgen ervoor dat ze allebei hun verplichtingen, verantwoordelijkheden en aansprakelijkheden begrijpen. Ze helpen hen om te voldoen aan de AVG en helpen verantwoordelijken om aan te tonen dat ze voldoen aan de AVG. Het gebruik van contracten door verantwoordelijken en verwerkers kan ook het vertrouwen van de betrokkenen in de verwerking van hun persoonsgegevens vergroten.

Moet een DPA een afzonderlijk document zijn?

Zoals u kunt zien, is dit een belangrijke verandering in wat wettelijk verplicht is, maar in de praktijk hebt u mogelijk al veel van die vereisten in uw bestaande contracten opgenomen als goede praktijken voor gegevensprivacy.

Om die reden besluiten veel bedrijven om een ​​DPA in te voegen in bestaande contracten met hun partners. Er is tenslotte geen wettelijke beperking die bepaalt dat een DPA geen deel kan uitmaken van een regulier contract tussen de verwerker en de verantwoordelijke.

Gezien de complexiteit van de taak, is het raadzaam om een ​​afzonderlijk document of een bijlage bij het hoofdcontract te maken.

Wat moet in een DPA worden opgenomen?

Hoewel de bepalingen van AVG vrij algemeen zijn, biedt het enkele aanwijzingen over hoe een DPA moet worden opgesteld.

Op basis van de tekst van de verordening en onze eigen ervaring en expertise, hebben we een lijst met elementen opgesteld die elke gegevensverwerkingsovereenkomst zou moeten hebben. Dus laten we zonder meer de essentiële onderdelen van een AVG-compatibele DPA nakijken.

Deze gids is bedoeld om u enkele nuttige tips te geven over het bouwen van een goede DPA. In dit geval is er echter geen one-size-fits-all oplossing. Wanneer u uw eigen versie van dit document maakt, moet u ook rekening houden met uw sectorale voorschriften en andere specifieke behoeften van uw bedrijf.

Meestal geldt hoe meer beperkingen uw branche heeft, hoe meer verantwoordelijkheden er worden gesteld voor zowel de verantwoordelijke als de verwerker.

Algemene bepalingen

In dit deel van het contract, zoals in vrijwel elk ander type contract, geeft u de definities van termen op die later in het document worden gebruikt. U moet onder andere het volgende definiëren:

  • Het doel van de overeenkomst – meestal zijn dat alle activiteiten die verband houden met de contractuele relatie tussen partners.
  • Het bereik, de aard en de duur van de gegevensverwerking – de manieren waarop persoonsgegevens worden gebruikt (bijvoorbeeld om het gedrag van gebruikers op uw website te analyseren of om de gebruikerservaring te personaliseren) en de partij die ervoor moet zorgen dat de verwerkte gegevens voldoen aan de vereisten van AVG (die aansprakelijkheid moet bij de verantwoordelijke liggen).
  • HDe onderwerpen van de gegevensverwerking – in dit deel moet u definiëren of de betrokkenen kinderen, bankklanten, patiënten of gewoon websitebezoekers zijn (of misschien vallen ze in elk van deze categorieën).
  • Type gegevens dat u wilt verwerken – de categorieën gegevens die met de middelen van de gegevensverwerker worden verwerkt – bijvoorbeeld technische kenmerken van de browser, gedragsgegevens over websiteactiviteiten, IP-adressen en meer. In dit punt is het ook belangrijk om te vermelden dat de verantwoordelijke de gegevensverwerker moet informeren als de in het systeem geïmporteerde gegevens voldoen aan de definitie van een speciale gegevenscategorie.

    Dit komt omdat dergelijke informatie op een beperktere manier moet worden verwerkt dan gewone soorten persoonsgegevens.

    Als u meer wilt lezen over de categorieën van persoonlijke gegevens, lees dan dit blogbericht:
    Wat zijn PII, niet-PII en Persoonsgegevens?

  • Gegevensopslag – Hoewel AVG zelf bedrijven niet verbiedt om persoonlijke gegevens van gebruikers buiten de EU op te slaan, stelt het bepaalde beperkingen op met betrekking tot de overdracht van gegevens buiten de grenzen van de EU (zie: Hoofdstuk 5). Daarom is het de moeite waard om ook te vermelden dat de gegevensverwerker niet het recht heeft om gecontroleerde gegevens buiten Europa te houden zonder voorafgaande toestemming.

    Als gegevens in het buitenland worden bewaard, is het belangrijk om de stappen te beschrijven die de gegevensverwerker moet ondernemen om een ​​veiligheidsniveau te garanderen dat gelijkwaardig is aan het niveau dat binnen de EU geldt. Wat bijvoorbeeld gegevens betreft die in de Verenigde Staten worden bewaard, is het een goed idee om het privacyschildkader te volgen (dit kan echter veranderen vanwege de meest recente controverses erover). Gezien het aantal details dat moet worden aangepakt, is het de moeite waard dit deel in een afzonderlijke clausule of zelfs een bijlage bij het contract op te nemen.

  • Duur van het contract en voorwaarden voor beëindiging van het contract – Hierin moet u informatie opnemen dat alle gegevens met betrekking tot de cliënten van de verantwoordelijke na de beëindiging van het contract uit de gegevensbanken van de verwerker moeten worden verwijderd en een opsomming geven van gevallen waarin elke partij het recht heeft om de overeenkomst te beëindigen (bijvoorbeeld door de verantwoordelijke niet te informeren over een gegevensinbreuk of ongeautoriseerde wijzigingen in de gegevensverwerkingsprocedures).

Rechten en verantwoordelijkheden van gegevensverantwoordelijken

In het volgende deel moet u ingaan op de taken van de gegevensverantwoordelijke. Hier is wat informatie die u zeker moet opnemen:

  • Onder AVG is de verantwoordelijke de entiteit die verantwoordelijk is voor het opzetten van een rechtmatig gegevensproces en het naleven van de rechten van betrokkenen (inclusief het verzamelen van toestemmingen en verzoeken van betrokkenen).
  • De verantwoordelijke is ook verantwoordelijk voor het geven van instructies over gegevensverwerking (inclusief het benoemen van medewerkers om als contactpunt te fungeren). Dit betekent dat de gegevensverwerker de gegevens uitsluitend op de door de verantwoordelijke gevraagde manier moet verwerken.
  • Als de gegevensverwerker echter van mening is dat de instructies van de gegevensverantwoordelijke in strijd zijn met de bepalingen van AVG, moeten ze de gegevensverantwoordelijke onmiddellijk op de hoogte stellen van hun zorgen.

Om meer te weten te komen over wat AVG te zeggen heeft over de rol van de gegevensverwerker, kunt u hier meer lezen in Artikel 24.

Verantwoordelijkheden van gegevensverwerkers

Vervolgens is het tijd om de taken van gegevensverwerkers vast te stellen.

In de artikelen 28 tot en met 36 van de AVG worden hun verantwoordelijkheden uiteengezet die in de gegevensverwerkingsovereenkomst moeten worden behandeld. De gegevensverwerker moet onder andere:

  • beschikken over adequate informatiebeveiliging
  • geen subverwerkers inschakelen zonder de voorafgaande toestemming van de verantwoordelijke
  • samenwerken met de autoriteiten in het geval van een onderzoek
  • gegevenslekken melden aan de verantwoordelijke zodra ze zich hiervan bewust zijn, zonder onnodige vertraging
  • indien nodig een ​​functionaris voor gegevensbescherming aanstellen
  • de verantwoordelijke de gelegenheid bieden om audits uit te voeren om AVG-conformiteit te onderzoeken
  • een register bijhouden van alle verwerkingsactiviteiten
  • voldoen aan EU-regels voor grensoverschrijdende overdracht van gegevens (indien nodig)
  • de verantwoordelijke helpen te voldoen aan de rechten van betrokkenen (inclusief de verwerking van verzoeken om gegevens van proefpersonen)
  • de verantwoordelijke assisteren bij het beheersen van de gevolgen van gegevenslekken
  • aan het einde van het contract alle persoonlijke gegevens verwijderen of retourneren, en
  • de verantwoordelijke informeren als de verwerkingsinstructies inbreuk maken op AVG
Het is de moeite waard ervoor te zorgen dat de tekst van een DPA geen ruimte laat voor misinterpretatie. Bijvoorbeeld:

  • Het is belangrijk om de tijdslimieten vast te stellen waarin de gegevensverwerker gegevensverzoeken moet verwerken en ook waarbinnen de gegevensverwerker de gegevensverantwoordelijke moet informeren over een gegevensinbreuk.
  • Als een functionaris voor gegevensbescherming is aangewezen, is het ook de moeite waard om hun contactgegevens te verstrekken.
  • En als is bepaald dat de gegevensverantwoordelijke het recht heeft om de gegevensverwerker te controleren, moet worden aangegeven hoe vaak dit kan worden gedaan en wie de kosten van de procedure dekt.

Op die manier zorgt u ervoor dat er geen zwakke links zijn en weet de gegevensverwerker precies wat er van hem wordt verwacht.

Zoals in elk ander geval moeten de bepalingen van dit deel van het contract worden aangepast aan de specifieke behoeften van de organisatie en aan de eisen van de branche.

Als u de verantwoordelijkheden van de gegevensverwerker gedetailleerder wilt bestuderen, kunt u deze pagina bezoeken.

Technische en organisatorische maatregelen

Daarna is het tijd om dieper in te gaan op de technische vereisten waaraan de gegevensverwerker moet voldoen om de bepalingen van AVG te vervullen. Overeenkomstig artikel 32 van de verordening:

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

  • de pseudonimisering en versleuteling van persoonsgegevens;
  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

In dit deel van het contract is het de moeite waard om informatie die de gegevensverwerker nodig heeft te implementeren, alle technische en organisatorische maatregelen te implementeren voordat de verwerking van persoonlijke gegevens van gebruikers begint.

Een van de belangrijkste taken van een DPA is immers dat de verwerkers voldoende waarborgen bieden voor de bescherming van de gegevens die aan hen worden doorgegeven. Vooral omdat, als een gegevenslek plaatsvindt – zelfs een aan de kant van de gegevensverwerker – het de verantwoordelijke is die aansprakelijk kan worden gesteld.

Vanwege de complexiteit van deze maatregelen is het raadzaam ze in een afzonderlijke bijlage bij het contract op te nemen (zie: Bijlage 1).

Subcontractuele relaties

Dit gedeelte wil meer duidelijkheid geven over de relatie tussen de primaire gegevensverwerker en subverwerkers. Het is de moeite waard om de volgende informatie in uw overeenkomsten op te nemen:

  • De gegevensverwerker moet de schriftelijke toestemming van de gegevensverantwoordelijke verkrijgen om elke vorm van relatie met subverwerkers tot stand te brengen.
  • Het contract tussen de verwerker en de subverwerker moet zorgen voor een gegevensbeschermingsniveau dat vergelijkbaar is met dat van een DPA.
  • De verantwoordelijke moet verantwoordelijk zijn voor het regelmatig verifiëren van de naleving van subverwerkers (bijvoorbeeld ten minste eens per 12 maanden).

Het is ook een goede gewoonte om de subverwerkers in een afzonderlijke bijlage bij het contract op te nemen (de inhoud ervan wordt besproken in de paragraaf genaamd Bijlage 2).

Laatste clausules

Dit is een standaardonderdeel van elk contract. Zoals altijd moeten we vermelden dat eventuele wijzigingen in het contract door beide partijen moeten worden aanvaard. In het geval van een DPA is het echter vermeldenswaard dat een dergelijk document alle andere overeenkomsten tussen de gegevensverwerker en de gegevensverantwoordelijke vervangt.

Dit laat geen ruimte voor verkeerde interpretatie in het geval dat de bepalingen van andere overeenkomsten in strijd zijn met de vereisten van de DPA.

Bijlagen

De DPA zou niet compleet zijn zonder de bovengenoemde bijlagen. Ze vullen de contractuele afspraken aan die eerder zijn overeengekomen en werken deze verder uit. Dit is wat u in beiden moet opnemen:

Bijlage 1 – Technische en organisatorische maatregelen

Deze bijlage is een aanvulling op de punten van een DPA betreffende technische en organisatorische maatregelen. In dit deel van de overeenkomst moet de gegevensverwerker aantonen dat hij in staat is om het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen en een procedure op te zetten voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking (beide citaten zijn fragmenten uit artikel 32 AVG).

Hieronder volgt een lijst met gebieden die cruciaal zijn voor het voldoen aan de eisen van de nieuwe wet:

Vertrouwelijkheid

Dit is het punt waarop de gegevensverwerker zijn inspanningen moet bewijzen om de volledige beveiliging van de gegevens van de verantwoordelijke te waarborgen. Ze zouden onder andere het volgende moeten beschrijven:

  • de structuur van het gegevenscenter waar ze van plan zijn om persoonlijke gegevens op te slaan
  • protocollen voor de bewaking van informatiebeveiliging
  • fysieke toegang tot het kantoor en toegepaste beveiligingsmaatregelen
  • externe toegang tot het kantoor
  • toegangscontrole voor applicaties (software)
Integriteit

Dit deel behandelt problemen van elektronische verzending van invoerbesturing. De gegevensverwerker moet bewijzen dat persoonlijke gegevens tijdens gegevensoverdracht niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd door onbevoegde partijen.

Beschikbaarheid en veerkracht

In dit gedeelte van de bijlage moet de verwerker zijn back-upbeleid presenteren, evenals maatregelen die worden gebruikt om gegevensredundantie, herstelbaarheid en hoge beschikbaarheid te garanderen.

Procedures van periodieke beoordeling

Hier moet de gegevensverwerker een kader beschrijven voor periodieke evaluaties van technische en organisatorische maatregelen die in de voorgaande delen van de bijlage zijn gepresenteerd.

Bijlage 2 – Lijst van subverwerkers

Niets moeilijks hier – deze lijst zou alle gegevenssubverwerkers moeten bevatten, evenals de adressen van hun zetels.

Gegevensverwerkingsovereenkomst onder AVG – enkele conclusies

We hopen dat deze blogpost u een goed beeld geeft van hoe een gegevensverwerkingsovereenkomst eruit moet zien. We weten echter dat dit een ingewikkeld probleem is en dat u nog steeds enkele onbeantwoorde vragen kunt hebben.

Als dit het geval is, raadpleeg dan enkele aanvullende informatiebronnen over het opstellen van een DPA, inclusief deze uiterst informatieve gids van het Britse Information Commissioner’s Office. Voel u ook vrij om op elk moment contact met ons op te nemen! Ons team helpt u graag verder.

Neem contact met ons op

Auteur:

Karolina Lubowicka, Content Marketer

Content marketing and social media enthusiast tweeting for @PiwikPRO.

Bekijk meer berichten van deze auteur

Delen