DPA: 7 elementen waarover elke gegevensbeschermingsovereenkomst die aan de AVG voldoet, moet beschikken

,

Geschreven door Karolina Lubowicka

Gepubliceerd november 21, 2022

Als u wilt weten hoe u een rechtmatige gegevensverwerkingsovereenkomst (DPA) schrijft, bent u hier op de juiste plaats. In deze blogpost nemen we met u alle belangrijke elementen van een DPA onder de Algemene Verordening Gegevensbescherming (AVG) door. 

Disclaimer: Deze blogpost is geen juridisch advies. Piwik PRO verstrekt privacyvriendelijke analytics software, maar biedt geen juridisch advies. Als u er zeker van wilt zijn dat u de HIPAA-richtlijnen naleeft, raden wij u aan een advocaat te raadplegen.

Wat is een DPA?

De AVG legt veel verplichtingen op aan iedereen die persoonsgegevens wil verzamelen en gebruiken. Een van de belangrijkste verplichtingen is het afsluiten van DPA’s met elke partij die toegang heeft tot deze gegevens. Een DPA of opgedragen bepaling inzake gegevensverwerking is een juridisch bindend document dat tussen de verwerkingsverantwoordelijke en de verwerker wordt ondertekend. Het regelt de bijzonderheden van de gegevensverwerking, zoals:

  • De omvang en het doel van de verwerking
  • De relatie tussen deze actoren
  • De verplichtingen van elke partij uit hoofde van de verordening

You can also download this post as a printable checklist! Use it to check if your DPA meets the strict requirements of GDPR.

Wanneer hebt u een DPA nodig?

Wanneer een gegevensverwerker een verwerking namens u uitvoert, moet u over een schriftelijke overeenkomst beschikken.

Dit betekent dat u een DPA nodig hebt, bijvoorbeeld wanneer u platforms voor klantrelatiebeheer (CRM’s), platforms voor klantgegevens (CDP’s), analytics en vele andere soorten tools gebruikt die ontworpen zijn om gebruikersgedrag te analyseren.

Het contract is belangrijk zodat beide partijen begrijpen wat hun rol is bij de behandeling van de persoonsgegevens van de gebruikers en welke verplichtingen daaruit voortvloeien. Het zorgt ervoor dat de verantwoordelijkheidsketen voor elke deelnemer aan het proces duidelijk is.

Dit is niets nieuws. Het ondertekenen van dit soort documenten is verplicht volgens veel andere privacyregels, waaronder de Britse Data Protection Act en de voorganger van de AVG, de Richtlijn gegevensbescherming 95/46/EG.

Onder de AVG zijn de contractvereisten echter breder. Ze helpen ook om aan te tonen dat elke partij de regels naleeft in geval van een audit door de gegevensbeschermingsautoriteiten.

Het Britse Information Commissioner’s Office zegt het volgende:

Contracten tussen verwerkingsverantwoordelijken en verwerkers zorgen ervoor dat beiden hun verplichtingen, verantwoordelijkheden en aansprakelijkheden begrijpen. Zij helpen hen te voldoen aan de AVG, en helpen verwerkingsverantwoordelijken aan te tonen dat zij de AVG naleven. Het gebruik van contracten door verwerkingsverantwoordelijken en verwerkers kan ook het vertrouwen van de betrokkenen in de behandeling van hun persoonsgegevens vergroten.

Moet een DPA een afzonderlijk document zijn?

Er is geen wettelijke beperking die bepaalt dat een DPA geen deel kan uitmaken van een gewone overeenkomst tussen de verwerker en de verwerkingsverantwoordelijke. Maar gezien de complexiteit van de opdracht is het goed om een apart document of bijlage bij het hoofdcontract te maken.

Wat moet er in een DPA staan?

De AVG geeft enkele algemene richtlijnen over wat er in een DPA moet worden opgenomen. Op basis van de verordening en onze eigen ervaring en deskundigheid hebben wij een lijst opgesteld van elementen die elke gegevensverwerkingsovereenkomst moet bevatten.

1) Algemene bepalingen

In dit deel van het contract specificeert u de termen die in het document worden gebruikt. Zo moet u onder andere het volgende definiëren:

  • Het onderwerp van de overeenkomst, doorgaans zijn dat alle activiteiten die verband houden met de contractuele relatie tussen de partners.
  • De omvang, de aard en de duur van de gegevensverwerking, hoe de persoonsgegevens zullen worden gebruikt en welke partij verantwoordelijk zal zijn voor de naleving van het proces. Deze aansprakelijkheid berust doorgaans bij de verwerkingsverantwoordelijke (u).
  • De onderwerpen van de gegevensverwerking, wiens gegevens u wilt verwerken, bijvoorbeeld kinderen, bankklanten, patiënten of gewoon websitebezoekers. De betrokkenen kunnen in meer dan één categorie vallen.
  • Type gegevens dat u wilt verwerken, verschillende categorieën gegevens die u wilt verwerken. Dit kunnen bijvoorbeeld technische kenmerken van de browser zijn, gedragsgegevens over websiteactiviteiten of IP-adressen.

De verwerkingsverantwoordelijke moet de gegevensverwerker informeren indien hij of zij bijzondere categorieën van gegevens verzamelt, aangezien er meer beperkingen gelden voor de verwerking van bepaalde soorten gegevens. Lees deze blogpost als u meer wilt weten over de categorieën persoonsgegevens.

  • Gegevensopslag: Hoewel de AVG bedrijven niet verbiedt om persoonsgegevens van gebruikers buiten de EU op te slaan, stelt het beperkingen aan deze overdrachten (zie: Hoofdstuk 5). De verwerker mag geen gegevens naar het buitenland sturen zonder voorafgaande toestemming. Als er gegevens in het buitenland worden bewaard, moet u beschrijven hoe de gegevensverwerker ermee moet omgaan om te voldoen aan de beschermingsnormen van de AVG. Aangezien de instructies gedetailleerd moeten zijn, loont het de moeite ze op te nemen in een afzonderlijke clausule of zelfs een bijlage bij het contract.
  • Voorwaarden voor beëindiging van het contract: Hier moet u vermelden dat alle gegevens over uw gebruikers na beëindiging van het contract uit de databanken van de verwerker moeten worden verwijderd. U moet ook aangeven wanneer u het recht hebt de overeenkomst te beëindigen, bijvoorbeeld als de verwerker u niet informeert over een gegevenslek of ongeoorloofde wijzigingen aanbrengt in de procedures voor gegevensverwerking.

2) Rechten en verantwoordelijkheden van verwerkingsverantwoordelijken (u)

U moet ook uw taken als verwerkingsverantwoordelijke van de gegevens vermelden en de volgende bepalingen opnemen:

  • U bent verantwoordelijk voor het vaststellen van een rechtmatige gegevensverwerking en het naleven van de rechten van de betrokkenen, met inbegrip van het verzamelen van de toestemming en verzoeken van de betrokkenen.
  • U bent verantwoordelijk voor het geven van instructies over gegevensverwerking, bijvoorbeeld het aanwijzen van medewerkers die als aanspreekpunt dienen.

3) Verantwoordelijkheden van de gegevensverwerkers

In de artikelen 28-36 van de AVG worden de verantwoordelijkheden voor gegevensverwerkers uiteengezet. Enkele verantwoordelijkheden van hen zijn:

  • Zorgen voor adequate informatiebeveiliging 
  • Geen subverwerkers inschakelen zonder uw voorafgaande toestemming 
  • Samenwerken met de autoriteiten in geval van een onderzoek
  • Gegevenslekken aan u melden zodra zij daarvan op de hoogte zijn
  • Ze moeten mogelijk een functionaris voor gegevensbescherming aanstellen
  • Ze moeten u de gelegenheid geven om audits uit te voeren om na te gaan of zij aan de voorschriften voldoen
  • Een register bijhouden van alle verwerkingsactiviteiten
  • Voldoen aan de EU-regels voor grensoverschrijdende gegevensoverdracht
  • Ze moeten u helpen de rechten van de betrokkenen na te leven, met inbegrip van de verwerking van verzoeken van betrokkenen
  • Ze moeten u helpen de gevolgen van gegevenslekken te beheersen
  • Ze moeten op verzoek alle persoonsgegevens wissen of teruggeven aan het einde van het contract
  • Ze moeten informeren als uw verwerkingsinstructies inbreuk maken op de AVG

Een DPA mag geen ruimte laten voor verkeerde interpretaties. Om grijze gebieden te vermijden, raden we u aan om het volgende niet te vergeten:

  • De termijnen vast te stellen waarbinnen de gegevensverwerker verzoeken om gegevens moet verwerken en waarbinnen de gegevensverwerker u moet informeren over een gegevenslek
  • De contactgegevens van uw functionaris voor gegevensbescherming bekend te maken 
  • Aan te geven of en hoe vaak u van plan bent controles uit te voeren op de verwerker en wie de kosten daarvan voor zijn rekening neemt

Zo zorgt u ervoor dat er geen zwakke schakels zijn en dat de gegevensverwerker precies weet wat u van hem verwacht.

4) Technische en organisatorische maatregelen

Dit punt van de overeenkomst heeft betrekking op de systemen en procedures die de gegevensverwerkers toepassen om de veiligheid van de persoonsgegevens te waarborgen, de naleving van de wet te vergemakkelijken en inbreuken op de gegevens te voorkomen.

Volgens artikel 32 van de verordening:

Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en de doeleinden van de verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, onder meer op passende wijze:

  • De pseudonimisering en versleuteling van persoonsgegevens
  • Het vermogen om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen
  • Het vermogen om in geval van een fysiek of technisch incident de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen
  • Een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking

In het contract moet worden bepaald dat de gegevensverwerker alle noodzakelijke technische en organisatorische maatregelen moet treffen voordat hij de persoonsgegevens van de gebruikers begint te verwerken. Een van de belangrijkste taken van een gegevensverwerkingsovereenkomst is immers ervoor te zorgen dat verwerkers voldoende waarborgen bieden voor de bescherming van gegevens. 

Gezien de complexiteit van deze maatregelen kunnen ze het best in een aparte bijlage bij het contract worden opgenomen.

5) Subcontractuele relaties

Dit deel werpt wat meer licht op de relatie tussen de primaire gegevensverwerker en de subverwerkers (partijen die gegevens verwerken ten behoeve van de verwerker). Dit is wat er in dit deel van de overeenkomst moet staan:

  • De gegevensverwerker moet de schriftelijke toestemming van de verwerkingsverantwoordelijke verkrijgen voor het inschakelen van subverwerkers. 
  • De overeenkomst tussen de verwerker en de subverwerker moet een niveau van gegevensbescherming garanderen dat vergelijkbaar is met dat van een gegevensbeschermingsovereenkomst. 
  • De verwerkingsverantwoordelijke moet verantwoordelijk zijn voor het regelmatig (bijvoorbeeld ten minste eenmaal per 12 maanden) controleren van de naleving door de subverwerkers.

Ook is het voor de duidelijkheid altijd goed om de subverwerkers in een aparte bijlage bij het contract op te sommen.

6) Slotbepalingen

Dit is een standaardonderdeel van elk contract. Vermeld hier dat:

  • Alle wijzigingen in het contract door beide partijen moeten worden aanvaard
  • Een gegevensverwerkingsovereenkomst alle andere overeenkomsten vervangt tussen de gegevensverwerker en de verwerkingsverantwoordelijke

Dit laat geen ruimte voor verkeerde interpretaties indien de bepalingen van andere overeenkomsten in strijd zijn met de vereisten van de gegevensbeschermingsovereenkomst.

7) Bijlagen

Een gegevensverwerkingsovereenkomst zou niet compleet zijn zonder bijlagen waarin de contractuele regelingen worden uitgewerkt. Dit is wat u erin moet zetten:

Bijlage 1 – Technische en organisatorische maatregelen

Deze bijlage vormt een aanvulling op de punten van een gegevensbeschermingsovereenkomst betreffende technische en organisatorische maatregelen. Hier moet de gegevensverwerker aantonen dat hij of zij “in staat is de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten permanent te waarborgen” en moet hij of zij “een proces instellen om de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking regelmatig te testen, te beoordelen en te evalueren”. Beide citaten zijn uittreksels uit artikel 32 van de AVG.

Hieronder volgt een lijst van gebieden die cruciaal zijn voor de naleving van de AVG:

Vertrouwelijkheid

De verwerker moet onder andere het volgende beschrijven:

  • De structuur van het gegevenscenter waar deze van plan is persoonsgegevens op te slaan
  • Controleprotocollen voor informatiebeveiliging 
  • Fysieke toegang tot het kantoor en toegepaste veiligheidsmaatregelen 
  • Toegang op afstand tot het kantoor 
  • Toegangscontrole voor toepassingen (software)
Integriteit

In dit deel van het contract moet de gegevensverwerker bewijzen dat persoonsgegevens tijdens de gegevensoverdracht niet door onbevoegden kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd.

Beschikbaarheid en veerkracht

In dit deel van de bijlage moet de verwerker zijn back-upbeleid en de maatregelen die worden genomen om de redundantie, de herstelbaarheid en de hoge beschikbaarheid van de gegevens te garanderen, toelichten.

Procedures voor periodieke evaluatie

Hier moet de gegevensverwerker een kader voor de periodieke evaluatie van de technische en organisatorische maatregelen uit de vorige delen van de bijlage uiteenzetten.

Bijlage 2 – Lijst van subverwerkers

Er is hier niets moeilijks aan, deze lijst moet alle subverwerkers en de adressen van hun hoofdkantoren bevatten.

Gegevensverwerkingsovereenkomst (DPA) onder de AVG: Een samenvatting

Wij hopen dat deze blogpost u een goed beeld geeft van hoe een gegevensverwerkingsovereenkomst eruit moet zien. Maar we weten dat dit een complexe materie is, en dat u misschien nog enkele onbeantwoorde vragen hebt. In dat geval moet u zeker enkele aanvullende informatiebronnen raadplegen over het opstellen van een DPA, waaronder deze uiterst informatieve gids van het Britse Information Commissioner’s Office.