Om consumentengegevens veilig te houden, heeft de Europese Unie (EU) een strenge privacy- en beveiligingswet ingevoerd die bekend staat als de  Algemene Verordening Gegevensbescherming  (AVG). De AVG definieert en handhaaft de rechten van EU-burgers met betrekking tot hun  persoonsgegevens. Het implementeert normen voor verantwoording, veiligheid en transparantie bij het gebruik van die gegevens.

Wereldwijde bedrijven die in de Europese Unie actief zijn of persoonsgegevens uit de EU verwerken, moeten begrijpen  hoe de AVG hen zal beïnvloeden  en hoe ze de AVG kunnen naleven.

Een aspect van die naleving is het implementeren van een  gegevensverwerkingsovereenkomst  (Data Processing Agreement, DPA). Een  AVG-gegevensverwerkingsovereenkomst  specificeert de details, regels, rechten en verplichtingen in verband met gegevensverwerkingsactiviteiten. Het helpt de naleving van het bedrijf te garanderen, gegevens te beveiligen en consumenten te beschermen en tevreden te houden.

Deze handleiding geeft een nadere blik op hoe DPA's werken en  wat ze in een DPA moeten opnemen.

Wat is een DPA  onder de AVG?

Een gegevensverwerkingsovereenkomst is een contract dat is ondertekend tussen verwerkingsverantwoordelijken en de  gegevensverwerkers  die hun gegevens zullen verwerken. Het is vereist voor volledige naleving van de AVG.

Een DPA beschrijft de aard, het doel en de duur van de verwerkingsactiviteiten die zullen plaatsvinden. Het specificeert ook het type persoonsgegevens dat moet worden verwerkt en de categorieën personen waartoe de gegevens behoren. Het definieert de rechten en verplichtingen die de verwerkingsverantwoordelijke zal hebben. Het kan het gebruik van technische beveiligingsmaatregelen specificeren, zoals een bepaald niveau van versleuteling, dat moet worden geïmplementeerd.

Een DPA is juridisch bindend en de verwerkingsverantwoordelijke en de verwerker moeten zich eraan houden of moeten zware straffen riskeren.

Het belangrijkste voordeel van een DPA is dat het de kwalificaties en betrouwbaarheid van de gegevensverwerker waarborgt. Bedrijven moeten weten dat hun gegevens in goede handen zijn en dat ze privé zijn en veilig zijn tegen nieuwsgierige ogen. Een DPA helpt deze garanties te bieden.

De AVG en de  DPA-vereisten  ervan zullen in de toekomst waarschijnlijk aanzienlijke gevolgen hebben voor de bedrijfsvoering. Zakelijke transacties kunnen veranderen naarmate het verzamelen van persoonsgegevens beperkter wordt, communicatie over gegevensverzameling en -opslag essentieel wordt en relaties met externe leveranciers strengere contracten vereisen. Individuele bedrijven en hun HR-afdelingen zullen een grote impact hebben wanneer ze hun processen aanpassen om te voldoen aan de AVG-vereisten.

Het nadeel van de AVG-vereisten is dat vertrouwen kan opbloeien in het bedrijfsleven naarmate mensen meer vertrouwen krijgen in de privacy en bescherming van hun gegevens.

Wanneer is een gegevensverwerkingsovereenkomst vereist?

Hebt u een gegevensverwerkingsovereenkomst nodig? U kunt persoonsgegevens verwerken in of vanuit de EU.

Onder de AVG  is een  DPA-document verplicht wanneer een persoon of organisatie persoonsgegevens verstrekt aan een externe dienstverlener voor een samenwerkingsdienst. Alle partijen die optreden als gegevensverwerkers moeten DPA's ondertekenen met de  gegevensbeheerders.

In de EU moet een dienst die een website host bijvoorbeeld een DPA ondertekenen bij het bedrijf waartoe de website behoort. Een bedrijf dat persoonsgegevens verwerkt om gerichte consumentenmarketing te bieden, moet ook een DPA ondertekenen.

Hieronder staan verschillende andere veelvoorkomende zakelijke diensten en scenario's die DPA's vereisen:

  • Outsourcing van e-mailbeheer
  • Technische oplossingen voor gegevensverwerking voor financiële en salarisadministratie
  • Back-upservices voor gegevens, hetzij via fysieke servers of in de cloud
  • Gegevensverzameling of digitalisering via een externe dienstverlener
  • Verwijdering van oude hardware die gevoelige gegevens bevat

In sommige gevallen kan de AVG DPA's vereisen  voor bedrijven buiten Europa. Deze vereiste speelt een rol wanneer er EU-gegevens bij betrokken zijn. Een bedrijf dat in Canada is gevestigd, kan bijvoorbeeld onderworpen zijn aan de DPA-vereiste als het gegevens over EU-burgers verwerkt.

Wanneer is een DPA niet vereist?

Verschillende specifieke scenario's vereisen geen DPA's. Ze hebben ingebouwde beschermingen die DPA-bescherming overbodig maken. Houd rekening met het volgende, zodat u de verplichtingen van uw bedrijf in deze omstandigheden beter kunt begrijpen:

  1. Partnerschappen met professionele groepen die vertrouwelijkheidsvereisten hebben: In veel beroepen zijn de beste praktijken voor dienstverleners om sectorspecifieke, op maat gemaakte vertrouwelijkheidsovereenkomsten te hebben die alle beveiligingsmaatregelen en privacyvereisten dekken die een DPA zou vereisen. Een paar beroepen die over het algemeen deze vertrouwelijkheidsovereenkomsten gebruiken, zijn onder meer wetgeving, belastingadvies en financiële audits. Veel gezondheidszorgdiensten hebben meestal ook hun eigen strikte vertrouwelijkheidsgaranties.
  2. Portaldiensten: Diensten die alleen mensen of entiteiten met elkaar verbinden, zijn doorgaans vrijgesteld van DPA-vereisten. Deze professionele matchmakingdiensten zijn zo van voorbijgaande aard dat een DPA weinig voordeel zou hebben. Recruiters vallen bijvoorbeeld in deze categorie. Ze verbinden alleen mensen die op zoek zijn naar werk met bedrijven die op zoek zijn naar getalenteerde nieuwe teamleden. Dit scenario maakt een DPA met de recruiter overbodig.
  3. Werk samen met incassobureaus: incassobureaus krijgen toegang tot persoonlijke financiële informatie en medische informatie. Omdat incassobureaus gescheiden zijn van de oorspronkelijke crediteuren en de schuld voor eigen gewin innen, zijn ze vrijgesteld van DPA-vereisten. Als ze namens de oorspronkelijke schuldeisers werkten, zouden de incassobureaus gegevensbeschermingsautoriteiten moeten ondertekenen.
  4. Gezamenlijk gegevensbeheer van meerdere bedrijven: in sommige gevallen werken bedrijven als groep om een verzameling gegevens te beheren. Dit scenario doet zich vaak voor wanneer bedrijven gezamenlijk toegang hebben tot gegevens van leveranciers, producten of verkoopleads. Hoewel de bedrijven concurrenten kunnen zijn, gebruiken ze dezelfde gegevens voor dezelfde algemene doeleinden. De schaal van dit gegevensgebruik betekent over het algemeen dat een DPA niet verplicht is.
  5. Klinische onderzoeken: Grootschalige klinische farmaceutische onderzoeken maken meestal geen gebruik van DPA's vanwege de talrijke bijdragers die ze inhouden. Artsen, onderzoekscentra en sponsors hebben allemaal toegang tot de gegevens van de proefpersoon en ze verwerken het allemaal op een andere manier volgens hun behoeften. De verzamelde gegevens dienen over het algemeen ook verschillende doeleinden gedurende het hele klinisch onderzoek. Onder deze omstandigheden zijn DPA's over het algemeen niet van toepassing.

Wie is de verwerkingsverantwoordelijke?

Elke DPA-overeenkomst vindt plaats tussen een verwerkingsverantwoordelijke en een gegevensverwerker. De verwerkingsverantwoordelijke is de organisatie of persoon die bepaalt hoe en waarom persoonsgegevens moeten worden verwerkt. Als uw bedrijf besluit om gegevens naar een derde partij te sturen voor back-up op zijn servers, is uw bedrijf de verwerkingsverantwoordelijke.

Het bepalende kenmerk van een verwerkingsverantwoordelijke is de beslissingsbevoegdheid. De verwerkingsverantwoordelijke neemt overkoepelende beslissingen over de redenen voor de gegevensverzameling en de manieren waarop de  verwerking van persoonsgegevens  moet plaatsvinden.

In de meeste scenario's is een bedrijf of organisatie de verwerkingsverantwoordelijke. De gegevensverwerker is een afzonderlijke entiteit die contracten aangaat met het bedrijf. Een persoon zoals een eenmanszaak of zelfstandige kan ook een verwerkingsverantwoordelijke zijn als die persoon beslissingen neemt over het verzamelen en verwerken van persoonsgegevens.

Wie is de gegevensverwerker?

De gegevensverwerker is de derde partij die de gegevens verwerkt voor een verwerkingsverantwoordelijke. In het bovenstaande scenario, als uw bedrijf besluit om uw gegevens te verzenden voor back-up, is het bedrijf dat de back-updiensten levert de gegevensverwerker.

De gegevensverwerker kan vele vormen aannemen. Het kan een bedrijf, een persoon of een overheidsinstantie zijn. Het relevante criterium is of die persoon of entiteit al dan niet gegevens verwerkt namens een verwerkingsverantwoordelijke.

Wat houdt een DPA-document in?

Artikelen 28-36 van de AVG specificeren welke contractuele verplichtingen verplicht zijn voor de gegevensverwerker  volgens de  DPA-regels van de AVG. Hieronder vindt u enkele van de vereiste  DPA-clausules:

1. Een grondige uitsplitsing van de gegevensverwerking

De DPA moet uitgebreide details geven over hoe elk aspect van gegevensverwerking zal plaatsvinden. De DPA moet duidelijke informatie bevatten over onderwerpen zoals:

  • Het type persoonsgegevens dat moet worden verwerkt
  • Het onderwerp van de gegevens
  • De categorieën van de betrokkenen
  • Het doel en de aard van de verwerking
  • De verwachte duur van de gegevensverwerking
  • De rechtsgrondslag voor de verwerking van persoonsgegevens
  • Het retourneren of verwijderen van persoonsgegevens aan het einde van de verwerking

2. De rechten en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker

Bij het specificeren van de rechten en verantwoordelijkheden voor beide partijen zorgt de DPA voor duidelijkheid over wie de gegevensverwerking beheert.

Het CBP dient uitdrukkelijk te vermelden dat de gegevensverwerker de verwerking moet uitvoeren volgens de wensen en specificaties van de gegevensbeheerder. Het moet specificeren dat de verwerkingsverantwoordelijke, niet de verwerker, volledige controle over de gegevens behoudt en wat er mee gebeurt.

De DPA moet de gegevensverwerker opdragen de gegevens alleen te verwerken volgens de directe instructies van de gegevensbeheerder, en alleen af te wijken van die instructies wanneer de EU-wetgeving of een van de wetgevingen van de lidstaten dit vereist.

3. Vereiste vertrouwelijkheidsmaatregelen voor de gegevensverwerker

De DPA moet de protocollen specificeren die de gegevensverwerker moet volgen om de vertrouwelijkheid van de persoonsgegevens te waarborgen.

De gegevensverwerker moet bijvoorbeeld van vaste werknemers, tijdelijke werknemers en onderaannemers eisen dat ze vertrouwelijkheidsovereenkomsten ondertekenen voordat ze kunnen beginnen met het verwerken van persoonsgegevens. De enige keer dat een vertrouwelijkheidsovereenkomst overbodig wordt, is wanneer een wettelijke verplichting al vereist dat de verwerker de vertrouwelijkheid garandeert.

4. Vereiste technische en organisatorische protocollen voor informatiebeveiliging

De DPA moet de beveiligingsmaatregelen beschrijven die de gegevensverwerker moet implementeren, inclusief maatregelen zoals deze, indien van toepassing:

  • Versleuteling van gegevens
  • Pseudonimisering van betrokkenen
  • Protocollen voor het waarborgen van de vertrouwelijkheid, beschikbaarheid, veerkracht en beveiliging van alle gegevensverwerkingssystemen
  • Processen voor het herstellen van de toegang tot persoonsgegevens na een aanval of inbreuk
  • Een regelmatig programma voor het testen en evalueren van de effectiviteit van alle beveiligingsmaatregelen

Veel verwerkers willen misschien formele certificeringen verkrijgen of officiële gedragscodes opstellen die hun geïmplementeerde protocollen bevestigen. Maatregelen zoals deze helpen de zekerheid te bieden dat hun gegevensverwerking volledig voldoet aan de AVG.

5. Voorwaarden voor contracten met onderaannemers

De DPA moet ook de vereisten beschrijven die de gegevensverwerker moet opleggen aan zijn onderaannemers. De verwerker moet zich bijvoorbeeld houden aan deze regels en best practices:

  • Alleen onderaannemers in dienst nemen met de uitdrukkelijke toestemming en autorisatie van de verwerkingsverantwoordelijke
  • Het opstellen en ondertekenen van contracten die dezelfde gegevensbeveiligingsvereisten opleggen aan de onderaannemer die de gegevensverwerker zelf moet volgen
  • Ervoor zorgen dat de onderaannemer voldoet aan de vereisten inzake gegevensbescherming
  • De verwerkingsverantwoordelijke informeren over wijzigingen waarbij onderaannemers betrokken zijn en de verwerkingsverantwoordelijke de tijd geven om te reageren

6. Samenwerkingsverplichtingen voor de gegevensverwerker

De DPA moet specificeren wanneer en hoe de gegevensverwerker moet samenwerken met de gegevensbeheerder. De gegevensverwerker moet bijvoorbeeld samenwerken om verzoeken om toegang tot gegevens op te lossen. De verwerker moet ook meewerken aan de bescherming van de privacy en rechten van de betrokkenen, met name door aan deze vereisten te voldoen:

  • Zorgen voor beveiliging van persoonsgegevens
  • Instanties en betrokkenen onmiddellijk op de hoogte stellen van inbreuken op persoonsgegevens
  • Het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) indien nodig
  • De relevante autoriteiten raadplegen wanneer zich ernstige gegevensrisico's voordoen

De gegevensverwerker moet de gegevensbeheerder ook in staat stellen om tijdens de verwerking nalevingsaudits uit te voeren. Tijdens audits moet de verwerker de verwerkingsverantwoordelijke onmiddellijk alle relevante informatie verstrekken om aan te tonen dat hij aan zijn nalevingsverplichtingen krachtens artikel 28 van de AVG heeft voldaan.

Best practices zijn ook dat de verwerker gegevens bijhoudt van zijn verwerkingsactiviteiten om naleving van de AVG aan te tonen.

Wat gebeurt er na een datalek onder een DPA?

Als er een datalek optreedt, moeten de betrokken bedrijven specifieke, onmiddellijke acties ondernemen. Uw bedrijf moet de relevante toezichthoudende autoriteit binnen uur op de  hoogte stellen 72 als de inbreuk ernstige risico's met zich meebrengt.

Als de inbreuk een zeer hoog risico vormt voor de betrokken personen, moet uw bedrijf deze personen meestal ook op de hoogte stellen. Als uw bedrijf echter al effectieve technische en organisatorische risicobeperkende protocollen heeft, is een kennisgeving mogelijk niet nodig.

Stel u bijvoorbeeld voor dat een creditcardmaatschappij een datalek heeft doorgemaakt vanwege een aanval op de servers waar het zijn gegevens heeft opgeslagen. De persoonlijke financiële informatie van zijn klanten is in gevaar gekomen. Hun namen, thuisadressen, aanvullende contactgegevens, financiële gegevens en de details van de soorten betalingen die ze op hun creditcards hebben gedaan, zijn allemaal openbaar geworden.

Het bedrijf dat de servers host, moet de autoriteiten binnen 72 uur op de hoogte stellen van de inbreuk. Het moet ook het creditcardbedrijf op de hoogte stellen.

Het bedrijf zou de consumenten waarschijnlijk moeten informeren, omdat de openbaarmaking van hun persoonlijk identificeerbare informatie hen in gevaar zou kunnen brengen. De schending kan ook leiden tot openbaarmaking van de gevoelige, beschermde gezondheidsinformatie van de consument als ze medische betalingen op hun creditcards hadden gedaan.

Wat zijn de sancties voor niet-naleving van de AVG? 

Als er een gegevensinbreuk plaatsvindt, zal het bedrijf dat niet aan de regels voldoet, worden onderworpen aan disciplinaire maatregelen. Een waarschijnlijke overtreding ontvangt slechts een waarschuwing. Bevestigde gevallen van niet-naleving kunnen onderworpen worden aan een of meer van deze sancties:

  1. Een formele berisping
  2. Een tijdelijk of permanent verbod op gegevensverwerking
  3. Een  boete tot €20 miljoen of 4 procent van de totale jaarlijkse wereldwijde omzet van het bedrijf

Neem professionals op het gebied van gegevensbeveiliging aan in uw team met Globalization Partners

Wanneer u internationale teams opbouwt die gericht zijn op gegevensbeveiliging, werk dan samen met Globalization Partners. Onze teams van professionals kunnen u helpen inzicht te krijgen in de regelgeving voor  gegevensverwerkingsovereenkomsten  die van toepassing is op uw bedrijf.

Het hebben van functionarissen voor gegevensbescherming en andere juridische professionals in uw team is essentieel om te blijven voldoen aan  de DPA-naleving. Als wereldwijde Employer of Record (EOR) helpt Globalization Partners u bij het inhuren en betalen van het internationale talent dat u nodig hebt voor succes. We nemen gegevensprivacy zeer serieus en we kunnen u helpen om te voldoen aan de lokale arbeidswetgeving en uw vertrouwelijke informatie te beveiligen terwijl u uw bedrijf internationaal opschaalt.

Bij Globalization Partners helpen we u uw wervingsprocessen te versnellen. Met behulp van ons  full-stack Global Employment Platform kun je met slechts een paar klikken je nieuwe teamleden inhuren en onboarden, waardoor je tijd bespaart en je aanpak van de uitdagingen van internationale bedrijfsgroei stroomlijnt.

Vraag vandaag nog een voorstel  aan of  neem contact met ons  op voor meer informatie over het inhuren van professionals op het gebied van gegevensbeveiliging via ons platform.

 

Veel leesplezier?
Neem contact met ons op