Verwerkersovereenkomsten (DPA's): wie, wanneer, en niet overdoen

Elke SaaS die persoonsgegevens voor jou verwerkt heeft een DPA nodig. Meestal staat hij klaar op hun site. Hier de check zodat je niet na een jaar 40 losse PDF's hebt.

Een verwerkersovereenkomst (Data Processing Agreement, DPA) is verplicht tussen jou (verwerkingsverantwoordelijke) en elke leverancier die persoonsgegevens namens jou verwerkt.

Met wie moet je een DPA?

• Je boekhoudpakket (verwerkt klanten- en personeelsdata).
• Je CRM.
• Je HR-systeem.
• Je e-mail marketing (MailChimp, Mailerlite, ActiveCampaign).
• Je hosting + cloudopslag (M365, Google Workspace, AWS).
• Je CDN / security (Cloudflare).
• Je klantsupport-tool (Intercom, Zendesk, Help Scout).
• Je accountantskantoor (als zij jouw data verwerken).

Met wie NIET?

• Je internetprovider (zij zijn geen verwerker).
• Je telefoonleverancier.
• Je betaalprovider (bank is "third controller", geen verwerker).

Inhoud DPA

De meeste grote leveranciers hebben een voor-opgestelde DPA online. Download, onderteken digitaal. Inhoud:

• Doel en duur van verwerking.
• Categorieën data en betrokkenen.
• Beveiligingsmaatregelen leverancier.
• Sub-verwerkers (welke AWS-regio, welke externe).
• Meldplicht bij incidenten.
• Assistentie bij rechten betrokkenen.

Archivering

Alle DPA's in één folder, met datum ondertekening en versie. Bij leveranciers-wissel: DPA met nieuwe partij, oude blijft in archief voor bewaartermijn.

Zie ook: AVG-pillar, sub-verwerkers buiten EU.