Geplaatst door Bas Welhuis op 7 juni 2018 11:00:00 CEST
Bas Welhuis
Volg mij op:

Heb jij al een Data Processing Agreement?

Data processing agreement

Was je net een beetje gewend aan de afkorting GDPR, komen ze alweer met een andere afkorting: de DPA. DPA staat voor Data Processing Agreement en wordt in het Nederlands ook wel een bewerkersovereenkomst genoemd. Maar wat is het precies, wanneer is het nodig en wat moet er eigenlijk in staan?

Wat is een DPA of bewerkersovereenkomst?

Een DPA regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking van die gegevens een ander bedrijf inschakelt. Een DPA is een begrip uit de privacyregelgeving (ja hoor, daar istie weer: de GDPR). Twee belangrijke termen uit die regelgeving zijn de verantwoordelijke (controller) en de bewerker (processor). De verantwoordelijke is degene die het doel van en de middelen voor het verwerken van persoonsgegevens vaststelt. Zoals een bedrijf dat persoonsgegevens van medewerkers bijhoudt met het oog op de salarisadministratie. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder dat hij of zij aan rechtstreeks gezag is onderworpen. Dat zou in het voorbeeld dan een salarisadministratiekantoor zijn die de salarisadministratie van het bedrijf afhandelt. Maar goed: nu weet je eigenlijk nog steeds niet wat een DPA of bewerkersovereenkomst is. Een bewerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de bewerker. In zo’n DPA wordt vastgelegd hoe de bewerker met de persoonsgegevens om moet gaan.

Download hier onze basis DPA overeenkomst

Wanneer heb je een DPA nodig?

Eigenlijk heel simpel. Op het moment dat een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, is er altijd een bewerkersovereenkomst nodig tussen de twee partijen. Ook als de bewerker toevallig een dochteronderneming van het bedrijf is of in het buitenland is gevestigd. Helaas is er dus al heel snel sprake van het verwerken van persoonsgegevens en is de kans groot dat je zelf ook een of meerdere DPA’s nodig hebt.

Wat staat er in een DPA?

Een DPA bestaat meestal uit verschillende onderwerpen. Het gaat wat ver om die hier allemaal aan bod te laten komen, maar we willen er wel graag een paar uitlichten.

  • Geheimhouding: er wordt aan de bewerker een geheimhoudingsplicht opgelegd, soms in combinatie met een boetebeding.
  • Bewerking in overeenstemming met instructies verantwoordelijke, wat inhoudt dat de bewerker de persoonsgegevens niet voor eigen doeleinden mag gebruiken.
  • Beveiligingsmaatregelen: de verantwoordelijke draagt ervoor zorg dat de bewerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen bijvoorbeeld verlies of diefstal.
  • Locatie van de data: de verantwoordelijke moet weten in welke landen zijn data wordt opgeslagen (mede van belang met het oog op de verplichtingen die gelden bij het doorgeven van persoonsgegevens naar het buitenland.

Dus hoe je het ook wendt of keert: de kans is enorm groot dat je bedrijf zelf ook een DPA nodig heeft. Gelukkig hoeft niet iedereen het wiel opnieuw uit te vinden. En jij dus ook niet. Daarom kan je hieronder een basis DPA overeenkomst downloaden. Pas hem aan op jouw specifieke situatie en het is eigenlijk zo geregeld.

Topics: GDPR

Klaar voor de next level?

Wil Je Koffie is specialist in B2B-leadgeneratie. Met drie vestigingen (Amsterdam, Hengelo, Groningen), een netwerk van meer dan 40 specialisten. Wil Je Koffie bedenkt creatieve campagnes die in combinatie met de genoemde lange termijn contactstrategie meer conversie opleveren.

Recente berichten