Om consumentengegevens veilig te houden, heeft de Europese Unie (EU) een strenge privacy- en beveiligingswet ingevoerd, bekend als de Algemene verordening gegevensbescherming (AVG)). De Algemene verordening gegevensbescherming (AVG) definieert en handhaaft de rechten van EU-burgers met betrekking tot hun persoonsgegevens. Het implementeert standaarden voor verantwoording, veiligheid en transparantie in het gebruik van die gegevens.

Wereldwijde bedrijven die opereren in de Europese Unie of persoonsgegevens uit de EU verwerken, moeten begrijpen hoe de Algemene verordening gegevensbescherming (AVG) hen zal beïnvloeden en hoe ze Algemene verordening gegevensbescherming (AVG) compliancekunnen handhaven.

Een aspect van die compliance is het implementeren van een gegevensverwerkingsovereenkomst (DPA). Een Algemene verordening gegevensbescherming (AVG) gegevensverwerkingsovereenkomst specificeert de details, regels, rechten en verplichtingen die samenhangen met gegevensverwerkingsactiviteiten. Het helpt ervoor te zorgen dat bedrijf compliance, data beveiligt en consumenten beschermd en tevreden houdt.

Deze gids geeft een nader beeld van hoe DPA's werken en wat er in een DPA moet worden opgenomen.

Wat is een DPA onder de Algemene verordening gegevensbescherming (AVG)?

Een gegevensverwerkingsovereenkomst is een contract dat wordt ondertekend tussen gegevensbeheerders en de gegevensverwerkers die hun gegevens zullen behandelen. Het is vereist voor volledige Algemene verordening gegevensbescherming (AVG) compliance.

Een DPA beschrijft de aard, het doel en de duur van de verwerkingsactiviteiten die zullen plaatsvinden. Ook wordt het type persoonsgegevens dat verwerkt moet worden gespecificeerd en de categorieën personen waartoe de gegevens behoren. Het definieert de rechten en plichten die de verkeersleider zal hebben. Het kan het gebruik van technische beveiligingsmaatregelen specificeren, zoals een bepaald niveau van encryptie, dat aanwezig moet zijn.

Een DPA is juridisch bindend en de gegevensbeheerder en verwerker moeten zich eraan houden, anders riskeren ze zware sancties.

Het belangrijkste voordeel van een DPA is dat het de kwalificaties en betrouwbaarheid van de gegevensverwerker waarborgt. Bedrijven moeten weten dat hun data in goede handen is en privé en veilig voor nieuwsgierige blikken. Een DPA helpt die garanties te bieden.

De Algemene verordening gegevensbescherming (AVG) en de bijbehorende DPA-vereisten zullen waarschijnlijk in de toekomst aanzienlijke gevolgen hebben voor bedrijfsvoering. Zakelijke transacties kunnen veranderen naarmate het verzamelen van persoonsgegevens beperkter wordt, communicatie over gegevensverzameling en opslag essentieel wordt, en relaties met derden met aanbieders strengere contracten vereisen. Individuele bedrijven en hun HR-afdelingen zullen grote gevolgen ondervinden wanneer zij hun processen aanpassen om te voldoen aan de vereisten van Algemene verordening gegevensbescherming (AVG).

Het voordeel van de Algemene verordening gegevensbescherming (AVG) is dat vertrouwen in het bedrijfsleven kan floreren naarmate mensen meer vertrouwen krijgen in de privacy en bescherming van hun gegevens.

Wanneer is een gegevensverwerkingsovereenkomst vereist?

Heb je een gegevensverwerkingsovereenkomst nodig? Dat kan gebeuren als je persoonlijke gegevens binnen of vanuit de EU verwerkt.

Volgens de Algemene verordening gegevensbescherming (AVG) is een DPA-document verplicht wanneer een persoon of organisatie persoonsgegevens verstrekt aan een derde partij voor een samenwerkingsdienst. Partijen die als gegevensverwerkers optreden, moeten DPA's ondertekenen met de gegevensbeheerders.

In de EU moet bijvoorbeeld een dienst die een website host een DPA ondertekenen met het bedrijf waar de website van behoort. Een bedrijf dat persoonsgegevens verwerkt om gerichte consumentenmarketing te bieden, moet ook een DPA ondertekenen.

Hieronder staan enkele andere veelvoorkomende zakelijke diensten en scenario's die DPA's vereisen:

  • E-mailbeheer outsourcing
  • Technische gegevensverwerkingsoplossingen voor financiële en loonadministratie
  • Data-back-updiensten, via fysieke servers of in de cloud
  • Gegevens verzamelen of digitaliseren via een externe dienstverlener
  • Verwijdering van oude hardware met gevoelige gegevens

In sommige gevallen kan de Algemene verordening gegevensbescherming (AVG) DPA's vereisen voor bedrijven buiten Europa. Deze eis geldt telkens wanneer er EU-gegevens in het spel zijn. Een bedrijf dat in Canada is gevestigd kan bijvoorbeeld onder de DPA-vereiste vallen als het gegevens over EU-burgers verwerkt.

Wanneer is een DPA niet verplicht?

Wanneer een DPA niet vereist is, moet een tabel met partnerschappen, portaalservices, incassobureaus en gezamenlijke gegevensbeheer van meerdere bedrijven worden gebruikt.

Verschillende specifieke scenario's vereisen geen DPA's. Ze hebben ingebouwde bescherming waardoor DPA-bescherming overbodig wordt. Overweeg het volgende zodat u de verplichtingen van uw bedrijf in deze omstandigheden beter kunt begrijpen:

  1. Partnerschappen met beroepsgroepen die geheimhoudingseisen hebben: In veel beroepen zijn best practices dat dienstverleners branchespecifieke, op maat gemaakte vertrouwelijkheidsovereenkomsten hebben die alle beveiligingsmaatregelen en privacy-eisen dekken die een DPA vereist. Enkele beroepen die doorgaans gebruikmaken van deze geheimhoudingsovereenkomsten zijn onder andere recht, belastingadvies en financiële audit. Veel zorgdiensten komen doorgaans ook met hun eigen strenge geheimhoudingsgaranties.
  2. Portaaldiensten: Diensten die alleen mensen of entiteiten verbinden, zijn doorgaans vrijgesteld van DPA-vereisten. Deze professionele matchmakingdiensten zijn zo tijdelijk dat een DPA weinig voordeel zou opleveren. Recruiters vallen bijvoorbeeld in deze categorie. Ze verbinden simpelweg mensen die werk zoeken met bedrijven die op zoek zijn naar getalenteerde nieuwe TEAM-leden. Dit scenario maakt een DPA met de recruiter overbodig.
  3. Werk samen met incassobureaus: Incassobureaus krijgen toegang tot persoonlijke financiële en medische informatie. Omdat incassobureaus gescheiden zijn van de oorspronkelijke schuldeisers en de schuld voor eigen gewin innen, zijn zij vrijgesteld van de DPA-vereisten. Als zij namens de oorspronkelijke schuldeisers zouden werken, zouden de incassobureaus DPA's moeten ondertekenen.
  4. Gezamenlijk databeheer van meerdere bedrijven: In sommige gevallen werken bedrijven als groep om een verzameling data te beheren. Dit scenario doet zich vaak voor wanneer bedrijven gezamenlijke toegang hebben tot gegevens van leveranciers, producten of verkoopleads. Hoewel de bedrijven concurrenten kunnen zijn, gebruiken ze dezelfde data voor dezelfde algemene doeleinden. De omvang van dit datagebruik betekent over het algemeen dat een DPA niet verplicht is.
  5. Klinische onderzoeken: Grootschalige klinische farmaceutische onderzoeken maken meestal geen gebruik van DPA's vanwege de vele bijdragers die ze met zich meebrengen. Artsen, onderzoekscentra en sponsors hebben allemaal toegang tot de gegevens van de proefpersoon, en ze verwerken het allemaal anders afhankelijk van hun behoeften. De verzamelde gegevens dienen ook over het algemeen verschillende doelen gedurende de klinische studie. Onder deze omstandigheden zijn DPA's over het algemeen niet van toepassing.

Wie is de gegevensbeheerder?

Elke DPA-overeenkomst vindt plaats tussen een gegevensbeheerder en een gegevensverwerker. De gegevensbeheerder is de organisatie of persoon die bepaalt hoe en waarom persoonsgegevens worden verwerkt. Als je bedrijf besluit data naar een derde partij te sturen voor back-up op zijn servers, is jouw bedrijf de gegevensbeheerder.

Het bepalende kenmerk van een datacontroller is de besluitvormingsbevoegdheid. De gegevensbeheerder neemt algemene beslissingen over de redenen voor gegevensverzameling en de manieren waarop persoonsgegevens verwerkt moeten worden.

In de meeste scenario's is een bedrijf of organisatie de gegevensbeheerder. De gegevensverwerker is een aparte entiteit die contracten met het bedrijf heeft. Een individu, zoals een eenmanszaak of zelfstandige werknemer, kan ook gegevensbeheerder zijn als die persoon beslissingen neemt over het verzamelen en verwerken van persoonsgegevens.

Wie is de gegevensverwerker?

De gegevensverwerker is de derde partij die de gegevens verwerkt voor een gegevensbeheerder. In het bovenstaande scenario, als je bedrijf besluit je gegevens voor back-up te sturen, is het bedrijf dat de back-updiensten levert de gegevensverwerker.

De gegevensverwerker kan vele vormen aannemen. Het kan een bedrijf, een individu of een overheidsinstantie zijn. Het relevante criterium is of die persoon of entiteit gegevens verwerkt namens een gegevensbeheerder.

Wat bevat een DPA-document?

De artikelen 28-36 van de Algemene verordening gegevensbescherming (AVG) specificeren welke contractuele verplichtingen verplicht zijn voor de gegevensverwerker onder de DPA-regels van de Algemene verordening gegevensbescherming (AVG). Hieronder staan enkele van de vereiste DPA-clausules:

1. Een grondige uitleg van de details van gegevensverwerking

De DPA moet uitgebreide details geven over hoe elk aspect van gegevensverwerking zal plaatsvinden. De DPA moet duidelijke informatie bevatten over onderwerpen zoals:

  • Het type persoonlijke gegevens dat verwerkt moet worden
  • Het onderwerp van de data
  • De categorieën van de datasubjecten
  • Het doel en de aard van de verwerking
  • De verwachte duur van gegevensverwerking
  • De rechtsgrondslag voor de verwerking van persoonlijke gegevens
  • Het teruggeven of verwijderen van persoonsgegevens aan het einde van de verwerking

2. De rechten en verantwoordelijkheden van de gegevensbeheerder en de verwerker

De DPA zorgt voor duidelijkheid over wie de gegevensverwerking beheert.

Door de rechten en verantwoordelijkheden van beide partijen te specificeren, zorgt de DPA voor duidelijkheid over wie de gegevensverwerking beheert.

De DPA moet expliciet vermelden dat de gegevensverwerker de verwerking moet uitvoeren volgens de wensen en specificaties van de gegevensbeheerder. Er moet worden aangegeven dat de controller, en niet de verwerker, volledige controle behoudt over de data en wat ermee gebeurt.

De DPA moet de gegevensverwerker opdragen de gegevens alleen te verwerken volgens de directe instructies van de gegevensbeheerder, en van die instructies af te wijken wanneer EU-wetgeving of een van de wetten van een lidstaat dit vereist.

3. Vereiste vertrouwelijkheidsmaatregelen voor de gegevensverwerker

De DPA moet de protocollen specificeren die de gegevensverwerker moet volgen om de vertrouwelijkheid van de persoonsgegevens te waarborgen.

Zo moet de gegevensverwerker verplichten dat vaste medewerkers, tijdelijke werknemers en onderaannemers geheimhoudingsovereenkomsten ondertekenen voordat zij kunnen beginnen met het verwerken van persoonsgegevens. De enige keer dat een geheimhoudingsovereenkomst overbodig wordt, is wanneer een wettelijke verplichting de verwerker al verplicht om vertrouwelijkheid te waarborgen.

4. Vereiste technische en organisatorische protocollen voor informatiebeveiliging

De DPA moet de beveiligingsmaatregelen beschrijven die de gegevensverwerker moet implementeren, inclusief dergelijke maatregelen indien passend:

  • Data-encryptie
  • Pseudonymisering van de datasubject
  • Protocollen voor het waarborgen van gegevensvertrouwelijkheid, beschikbaarheid, veerkracht en beveiliging van alle gegevensverwerkingssystemen
  • Processen voor het herstellen van toegang tot persoonsgegevens na een aanval of inbreuk
  • Een regelmatig programma voor het testen en evalueren van de effectiviteit van alle beveiligingsmaatregelen

Veel verwerkers willen formele certificeringen verkrijgen of officiële gedragscodes opstellen die hun geïmplementeerde protocollen bevestigen. Dergelijke maatregelen bieden de garantie dat hun gegevensverwerking volledig voldoet aan de Algemene verordening gegevensbescherming (AVG).

5. Voorwaarden voor contracten met onderaannemers

De DPA moet ook de eisen beschrijven die de gegevensverwerker aan zijn onderaannemers moet stellen. De processor moet bijvoorbeeld de volgende regels en best practices naleven:

  • Alleen het inzetten van onderaannemers met uitdrukkelijke toestemming en toestemming van de gegevensbeheerder
  • Het opstellen en ondertekenen van contracten waarbij dezelfde gegevensbeveiligingseisen aan de onderaannemer worden opgelegd als waar de gegevensverwerker zelf aan moet voldoen
  • Zorgen dat de compliance van de onderaannemer voldoet aan de privacy-eisen
  • De gegevensbeheerder informeren over wijzigingen waarbij onderaannemers betrokken zijn en de beheerder tijd geven om te reageren

6. Samenwerkingsverplichtingen voor de gegevensverwerker

De gegevensverwerker moet de gegevensbeheerder ook toestaan om compliance-audits uit te voeren tijdens de verwerking.

De DPA moet specificeren wanneer en hoe de gegevensverwerker moet samenwerken met de gegevensbeheerder. Zo moet de gegevensverwerker samenwerken om verzoeken om gegevenstoegang op te lossen. De verwerker moet ook meewerken aan het beschermen van de privacy en rechten van de betrokkenen, met name door aan deze vereisten te voldoen:

  • Waarborgen van persoonlijke gegevensbeveiliging
  • Autoriteiten en betrokkenen snel op de hoogte stellen van datalekken
  • Het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) waar nodig
  • Raadpleeg de relevante autoriteiten wanneer er ernstige datarisico's ontstaan

De gegevensverwerker moet de gegevensbeheerder ook toestaan om compliance-audits uit te voeren tijdens de verwerking. Tijdens audits moet de verwerker de beheerder tijdig alle relevante informatie verstrekken om aan te tonen dat zijn compliance verplichtingen onder Artikel 28 van de Algemene verordening gegevensbescherming (AVG) is nagekomen.

Best practices zijn ook dat de verwerker gegevens bijhoudt van zijn verwerkingsactiviteiten om compliance aan te tonen met de Algemene verordening gegevensbescherming (AVG).

Wat gebeurt er na een datalek onder een DPA?

Als er een datalek plaatsvindt, moeten de betrokken bedrijven specifieke en onmiddellijke maatregelen nemen. Uw bedrijf moet de relevante toezichthoudende autoriteit binnen 72uur informeren als de inbreuk ernstige risico's met zich meebrengt.

Als het lek een zeer groot risico vormt voor de getroffenen mensen, moet uw bedrijf die personen meestal ook op de hoogte stellen. Als uw bedrijf echter al effectieve technische en organisatorische risicoverminderende protocollen heeft, is een melding mogelijk niet nodig.

Stel je bijvoorbeeld voor dat een creditcardbedrijf een datalek heeft gehad door een aanval op de servers waar het zijn gegevens heeft opgeslagen. De persoonlijke financiële informatie van haar klanten is gecompromitteerd. Hun namen, huisadressen, aanvullende contactgegevens, financiële gegevens en de gegevens van de soorten betalingen die ze op hun creditcards hebben gedaan, zijn allemaal openbaar geworden.

Het bedrijf dat de servers host, moet de autoriteiten binnen 72 uur op de hoogte stellen van het lek. Het moet ook het creditcardbedrijf op de hoogte stellen.

Het bedrijf zal waarschijnlijk de consumenten moeten informeren, omdat het openbaar maken van hun persoonlijk identificerende informatie hen in gevaar kan brengen. De inbreuk kan ook leiden tot het openbaar maken van de gevoelige, beschermde gezondheidsinformatie van consumenten als zij medische betalingen op hun creditcard hebben gedaan.

Wat zijn de straffen voor niet-naleving van de Algemene Verordening gegevensbescherming (AVG)? 

Als er een datalek plaatsvindt, zal het bedrijf dat niet voldoet aan de regels worden onderworpen aan disciplinaire maatregelen. Een waarschijnlijke overtreding krijgt slechts een waarschuwing. Bevestigde niet-naleving incidenten kunnen onderworpen worden aan een of meer van deze sancties:

  1. Een formele berisping
  2. Een tijdelijk of permanent verbod op gegevensverwerking
  3. Een boete totEUR20 miljoen, ofwel 4 procent van de totale jaarlijkse wereldwijde omzet van het bedrijf

Huur databeveiligingsprofessionals in voor je TEAM met G-P

Wanneer je internationale teams bouwt die zich richten op databeveiliging, werk dan samen met G-P. Onze teams van professionals kunnen u helpen de regels voor gegevensverwerkingsovereenkomsten die op uw bedrijf van toepassing zijn, te begrijpen.

Het hebben van gegevensbeschermingsfunctionarissen en andere juridische professionals in uw TEAM is essentieel om in DPA te blijven compliance Als een wereldwijde Employer of Record (EOR) helpt G-P je het internationale talent aan te nemen en te betalen dat je nodig hebt voor succes. Wij nemen gegevensprivacy zeer serieus en kunnen u helpen om te voldoen aan plaatselijk arbeidsrecht en uw vertrouwelijke informatie te beveiligen terwijl u uw bedrijf internationaal opschaalt.

Bij G-P helpen we u uw wervingsprocessen te versnellen. Met ons full-stack platform voor wereldwijde HR-ondersteuning kunt u uw nieuwe TEAM-leden met slechts een paar klikken aannemen en onboarden, wat tijd bespaart en uw aanpak stroomlijnt voor de uitdagingen van de groei van Internationaal bedrijven.

Vraag vandaag nog een voorstel aan, of neem contact met ons op om te weten hoe je databeveiligingsprofessionals via ons platform kunt inhuren.