Wat is een verwerkersovereenkomst (DPA)?
U herkent dit waarschijnlijk: er komt een nieuwe tool binnen, het team is enthousiast, en ergens in het aanmeldproces staat een selectievakje waarmee u akkoord gaat met de voorwaarden voor gegevensverwerking. U vinkt het aan, want natuurlijk doet u dat, en u gaat verder. Maanden later vraagt iemand van legal om 'de DPA met die leverancier' en niemand weet helemaal zeker wat er is afgesproken of waar het document staat. Ik heb dit zien gebeuren bij bedrijven van elke omvang, en het is bijna nooit nalatigheid. Het komt doordat DPA's tot de meest ondertekende en minst gelezen documenten in een bedrijf behoren.
Deze gids helpt u dat te voorkomen. Ik leg uit wat een verwerkersovereenkomst eigenlijk is, wanneer de AVG er een vereist, en welke bepalingen echt gewicht dragen, zodat u de volgende keer dat iemand naar een DPA vraagt met vertrouwen kunt antwoorden in plaats van met een ongemakkelijk gevoel.
Dit is praktische guidance, geen juridisch advies. Bespreek uw specifieke situatie met een gekwalificeerde privacyprofessional.
Aan het einde van deze gids kunt u:
- Begrijpen wat een DPA is en welke rollen van verwerkingsverantwoordelijke en verwerker daarin worden vastgelegd
- Weten wanneer de AVG u verplicht om er een te hebben
- De bepalingen herkennen die het belangrijkst zijn wanneer u een DPA leest of onderhandelt
- De twee fouten signaleren die ik bedrijven steeds opnieuw zie maken
- Een eenvoudige eerste stap zetten voor elke DPA die nu op uw bureau ligt
Wat een DPA eigenlijk is
Een verwerkersovereenkomst, vaak ook data processing agreement of DPA genoemd, is een contract tussen een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke bent u: de organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt. De verwerker is de leverancier die die gegevens namens u verwerkt op basis van uw instructies. De DPA legt de regels tussen u vast: wat de leverancier met de gegevens mag doen, hoe hij ze moet beschermen, en wat er gebeurt als er iets misgaat of als de relatie eindigt.
De eenvoudigste manier om het te zien, vind ik als vangrails. U geeft persoonsgegevens, van uw klanten, medewerkers of leveranciers, aan iemand anders om een taak voor u uit te voeren. De DPA is de schriftelijke belofte dat die partij alleen die taak uitvoert, alleen op de manieren die u hebt afgesproken, en dat de gegevens worden teruggegeven of vernietigd zodra het werk klaar is.
Onder de AVG is dit geen prettige extra. Artikel 28 vereist een schriftelijke overeenkomst wanneer een verwerker persoonsgegevens namens een verwerkingsverantwoordelijke verwerkt. Zonder zo'n overeenkomst lopen beide partijen risico: de verwerkingsverantwoordelijke omdat hij zijn verwerker niet goed bindt, en de verwerker omdat hij gegevens verwerkt zonder rechtmatige instructie. De DPA beschermt dus iedereen, en dat is een deel van de reden waarom toezichthouders het ontbreken ervan zo serieus nemen.
Verwerkingsverantwoordelijke of verwerker: waarom de rollen ertoe doen
De hele overeenkomst draait om de vraag wie beslist wat er met de gegevens gebeurt. Als uw leverancier alleen op uw instructies handelt, is hij een verwerker en hebt u een DPA nodig. Als de leverancier voor eigen doeleinden bepaalt wat hij met de gegevens doet, is hij zelf verwerkingsverantwoordelijke en wordt de relatie anders geregeld. Dit onderscheid vroeg goed maken voorkomt later veel verwarring, omdat het bepaalt welke verplichtingen bij welke partij liggen.
In de praktijk zijn de meeste afspraken waarbij een leverancier iets met uw gegevens doet zodat u uw bedrijf kunt runnen, relaties tussen verwerkingsverantwoordelijke en verwerker. Dat is precies waar de DPA zijn werk doet. Als u compliance beheert binnen een leverancierslandschap, laten onze notities voor de use case voor compliance officers zien hoe deze rollen er in de dagelijkse praktijk uitzien.
Wanneer u er een nodig hebt
U hebt een DPA nodig wanneer een andere organisatie persoonsgegevens voor u verwerkt. De gebruikelijke triggers zijn eenvoudiger te herkennen dan de juridische definities, dus hier ziet u waar ze meestal opduiken:
- SaaS-tools die klant- of medewerkersgegevens opslaan, zoals uw CRM, servicedesk, HR-systeem of analyseplatform
- Cloudinfrastructuur en hostingproviders
- Betaal-, salaris- en boekhouddiensten
- Marketingplatformen en e-mailverzenders
- Elke contractor of agency die persoonsgegevens van uw klanten of medewerkers verwerkt
Het patroon is eenvoudig zodra u het ziet. Als een leverancier namens u persoonsgegevens aanraakt, hebt u vrijwel zeker een DPA met die leverancier nodig. Gezien het aantal tools waarop moderne teams vertrouwen, loopt dat snel op. Dat is een van de redenen waarom DPA-verplichtingen zich door een bedrijf verspreiden voordat iemand het doorheeft. Als u specifiek softwareleveranciers beheert, sluit de aanpak voor SaaS contract management logisch aan op het op orde houden van DPA's.
De bepalingen die ertoe doen
Een DPA kan meerdere pagina's beslaan, en veel daarvan is standaardtekst die zelden verandert. Een kleine groep bepalingen draagt echter het meeste gewicht. Dit zijn de bepalingen die ik als eerste lees wanneer er een DPA voor me ligt.
| Bepaling | Wat deze regelt | Waarom dit belangrijk is |
|---|---|---|
| Onderwerp en duur | Wat wordt verwerkt, waarom, hoe lang, en welke categorieën gegevens en betrokkenen erbij horen | Bepaalt de reikwijdte van al het andere; als dit vaag is, is de rest moeilijk te handhaven |
| Verwerking op gedocumenteerde instructies | De verwerker handelt op uw instructies, niet op eigen initiatief | Houdt de leverancier binnen de vangrails die u stelt |
| Beveiligingsmaatregelen | Passende technische en organisatorische maatregelen, zoals encryptie en toegangscontrole | Hier worden datalekken voorkomen of juist uitgenodigd |
| Vertrouwelijkheid | Iedereen met toegang is verplicht de gegevens vertrouwelijk te houden | Breidt uw bescherming uit tot individuele medewerkers |
| Subverwerkers | Of en hoe de leverancier eigen subverwerkers inschakelt, en uw recht om geïnformeerd te worden en bezwaar te maken | Nieuwe partijen kunnen stilletjes onderdeel worden van de keten die uw gegevens verwerkt |
| Bijstand | De verwerker helpt u te reageren op verzoeken van betrokkenen en aan uw verplichtingen te voldoen | U blijft in staat om rechtenverzoeken op tijd af te handelen |
| Melding van datalekken | De verwerker informeert u zonder onredelijke vertraging wanneer er een datalek plaatsvindt | Uw eigen meldtermijn hangt vaak af van die van de verwerker |
| Verwijdering of teruggave | Aan het einde van de overeenkomst worden gegevens op uw instructie verwijderd of teruggegeven | Voorkomt dat gegevens blijven rondzwerven op een plek waar u geen controle meer over hebt |
| Audits | U kunt naleving controleren via audits, inspecties of bewijsstukken | Maakt van de beloften hierboven iets dat u daadwerkelijk kunt toetsen |
| Internationale doorgiften | Als gegevens de EER verlaten, is er een geldig doorgiftemechanisme aanwezig | Een ontbrekend of verouderd mechanisme maakt de doorgifte onrechtmatig |
Als u niets anders leest, lees dan de bepalingen over beveiliging, subverwerkers, datalekmeldingen en internationale doorgiften zorgvuldig. In mijn ervaring verschillen leveranciersmodellen juist op die vier punten het meest, en daar kan een stille zwakte u later veel kosten. Wanneer u een DPA in een tool voor AI contractanalyse zet, zijn dit precies de bepalingen die u als eerste boven water wilt halen.
Een opmerking over internationale doorgiften
Van alle bepalingen voelt deze het minst stabiel. De juridische basis voor het verplaatsen van persoonsgegevens over grenzen heen is de afgelopen jaren meer dan eens veranderd, en een DPA die compliance koppelt aan een specifiek mechanisme kan verouderen zonder dat iemand ook maar één woord aanpast. Als uw leverancier gegevens buiten de EER verwerkt, controleer dan of het doorgiftemechanisme waarop hij vertrouwt, vaak de Standard Contractual Clauses, nog steeds uw daadwerkelijke gegevensstromen dekt. Dat onder controle houden is onderdeel van bredere hygiëne rond AVG-compliancesoftware, niet een eenmalige controle.
Veelvoorkomende fouten
Twee fouten komen veel vaker voor dan alle andere, en beide zijn op het moment zelf heel begrijpelijk.
De eerste is de DPA van de leverancier ondertekenen zonder hem te lezen. Het model komt binnen, het ziet er standaard uit, en onder tijdsdruk wordt het goedgekeurd. Het probleem is dat 'standaardmodellen' stilletjes de partij bevoordelen die ze heeft opgesteld. Daardoor kunt u uiteindelijk zwakke beveiligingsvoorwaarden, brede rechten voor subverwerkers of een meldtermijn voor datalekken accepteren die in weken wordt gemeten in plaats van dagen. Een paar minuten lezen voorkomt veel spijt.
De tweede is één keer tekenen en daarna vergeten. Een DPA is een levende verplichting, geen eenmalige handtekening. Subverwerkers veranderen, doorgifteregels verschuiven, jaarlijkse reviews worden verwacht, en niets daarvan stuurt u automatisch een herinnering. De overeenkomst veroudert geruisloos terwijl iedereen aanneemt dat het goed zit. Dit hangt nauw samen met de bredere risico's in contractmanagement die ontstaan wanneer verplichtingen langer blijven bestaan dan de aandacht die eraan wordt gegeven.
Elke DPA opslaan naast het leverancierscontract waarbij hij hoort, met reviewdata en subverwerkersvoorwaarden die worden bijgehouden, verandert een gearchiveerde PDF in daadwerkelijke compliance. Dat is precies waarvoor beheer van verwerkersovereenkomsten in Contracko is gebouwd. Het draait bovenop een contract repository, zodat de DPA en de overeenkomst die hij regelt nooit uit elkaar lopen.
Een snelle eerste stap
Als u nu een DPA voor u hebt, is de snelste manier om hem te begrijpen: haal hem door een analyzer voor overeenkomsten voor gegevensdeling. Die brengt binnen enkele seconden de voorwaarden voor toegestaan gebruik, beveiligingsverplichtingen, bewaartermijnen, meldtermijnen voor datalekken en AVG-relevante bepalingen naar voren, zodat u weet wat u ondertekent voordat u tekent. U kunt het gratis proberen, en het geeft u een helder beeld van de bepalingen die ik hierboven heb genoemd zonder dat u zelf elke pagina hoeft door te ploegen.
Daarna is de logische volgende stap om dat inzicht actueel te houden in plaats van het te laten vervagen. De rustigste manier om dat te doen, vind ik, is elke DPA een vaste plek geven, de belangrijkste data eruit halen, en het systeem u laten herinneren wanneer er iets aandacht nodig heeft. Dat is het verschil tussen een DPA die u beschermt en een DPA die alleen maar in een map staat.
Contracko is een in de EU gehost platform, uw gegevens blijven versleuteld met rolgebaseerde toegang, en de AI-providers die wij gebruiken trainen niet op uw contracten. Het lezen en opslaan van gevoelige overeenkomsten creëert dus geen nieuwe blootstelling op zichzelf. Als u wilt zien hoe dit in uw stack past, is het volledige overzicht van oplossingen een goed startpunt, en er is een gratis proefperiode wanneer u eraan toe bent.
Neem gerust contact op als u vragen hebt. Ik lees elke e-mail zelf, en ik help u graag om een lastige DPA te doorgronden.
Ga aan de slag met Contracko
Verban het gedoe rondom contract- en abonnementsbeheer. Contracko helpt je georganiseerd, op tijd en in controle te blijven. Begin vandaag nog met vereenvoudigen.