Wanneer is een DPA wettelijk vereist?

Zodra een verwerkingsverantwoordelijke een verwerker inschakelt om persoonsgegevens van EU- of EER-inwoners te verwerken. Verantwoordelijken en verwerkers buiten de EU zijn gelijk gedekt als ze gegevens van EU-inwoners verwerken. Het VK heeft een bijna identiek regime onder de UK GDPR.

Wat is het verschil tussen een DPA en een servicecontract?

Een servicecontract (of raamovereenkomst) dekt de commerciële relatie — scope, prijs, SLA. Een DPA dekt specifiek gegevensbescherming en kan een zelfstandig document zijn, een bijlage of een sectie van het hoofdcontract. De meeste volwassen SaaS-leveranciers gebruiken een zelfstandige DPA die door verwijzing wordt opgenomen.

Heb ik een nieuwe DPA nodig voor elke klant?

De meeste leveranciers onderhouden één DPA-template dat ze met alle klanten gebruiken en onderhandelen alleen over klantspecifieke aanvullingen (bv. een specifieke subverwerkerslijst of auditfrequentie). Een standaard-DPA versnelt procurement; klantspecifieke DPA's vertragen deal-cycli aanzienlijk.

Verwerkersovereenkomst (DPA)

Data Processing Agreement · Artikel 28 AVG-overeenkomst · GDPR DPA

Een Verwerkersovereenkomst (DPA) is een contract tussen een verwerkingsverantwoordelijke en een verwerker dat bepaalt hoe persoonsgegevens namens de verantwoordelijke mogen worden verwerkt. Onder artikel 28 AVG is een DPA verplicht zodra een verantwoordelijke een verwerker inschakelt en moet onderwerp, duur, omvang en verplichtingen van de verwerker omvatten.

Wat een DPA feitelijk doet

Een DPA vertaalt de abstracte verwerkerverplichtingen uit de AVG in concrete contractuele toezeggingen. Hij bepaalt welke gegevens worden verwerkt en waarom, hoelang, wie als subverwerker telt en hoe die wordt goedgekeurd, welke beveiligingsmaatregelen gelden, hoe datalekken worden gemeld, hoe auditrechten werken, wat er gebeurt aan het einde van de relatie en hoe internationale doorgiftes worden behandeld. Voor elke SaaS-leverancier die persoonsgegevens opslaat of verwerkt voor EU-gerichte klanten is een conforme DPA een verkoopvoorwaarde — inkoopteams tekenen zonder niet. Voor klanten is de DPA wat de leverancier juridisch aansprakelijk maakt voor de beveiligingstoezeggingen die marketingpagina's beloven.

Waarom het ertoe doet

AVG-boetes worden berekend als percentage van de wereldwijde omzet, en DPA's zijn het primaire contractuele mechanisme dat verantwoordelijken gebruiken om nalevingsrisico toe te wijzen. Een zwakke DPA laat de verantwoordelijke blootgesteld als de verwerker gegevens verkeerd behandelt; een sterke DPA dwingt concrete beveiligingstoezeggingen, auditrechten en snelle melding af. Voor leveranciers voorspelt DPA-kwaliteit de dealomvang: enterprise-klanten vereisen volwassen DPA's met specifieke subverwerkerslijsten, auditrechten en gedefinieerde meldingstermijnen. Een generieke template haalt enterprise-procurement niet meer.

Veelvoorkomende valkuilen

1.Subverwerkerslijst ontbreekt of is verouderd — de AVG vereist dat de verantwoordelijke weet wie zijn gegevens daadwerkelijk aanraakt.
2.Meldingstermijn voor datalekken is vaag — "zo snel mogelijk" wordt vervangen door concrete uren (24, 48, 72) in volwassen DPA's.
3.Auditrechten ontbreken of zijn puur hypothetisch — verantwoordelijken hebben doorgaans ter plekke audit of een recent SOC 2 / ISO 27001-rapport nodig.
4.Mechanisme voor internationale doorgifte is niet gespecificeerd — na Schrems II moeten DPA's het mechanisme noemen (SCC's, adequaatheidsbesluit) en aanvullende maatregelen dekken.
5.Retour of verwijdering van gegevens bij beëindiging is optioneel — de AVG maakt dit verplicht; de DPA moet specificeren welke en wanneer.

Gerelateerde termen

Geheimhoudingsovereenkomst (NDA)→Vrijwaring (Indemnification)→Due diligence→

Veelgestelde vragen

Wanneer is een DPA wettelijk vereist?: Zodra een verwerkingsverantwoordelijke een verwerker inschakelt om persoonsgegevens van EU- of EER-inwoners te verwerken. Verantwoordelijken en verwerkers buiten de EU zijn gelijk gedekt als ze gegevens van EU-inwoners verwerken. Het VK heeft een bijna identiek regime onder de UK GDPR.
Wat is het verschil tussen een DPA en een servicecontract?: Een servicecontract (of raamovereenkomst) dekt de commerciële relatie — scope, prijs, SLA. Een DPA dekt specifiek gegevensbescherming en kan een zelfstandig document zijn, een bijlage of een sectie van het hoofdcontract. De meeste volwassen SaaS-leveranciers gebruiken een zelfstandige DPA die door verwijzing wordt opgenomen.
Heb ik een nieuwe DPA nodig voor elke klant?: De meeste leveranciers onderhouden één DPA-template dat ze met alle klanten gebruiken en onderhandelen alleen over klantspecifieke aanvullingen (bv. een specifieke subverwerkerslijst of auditfrequentie). Een standaard-DPA versnelt procurement; klantspecifieke DPA's vertragen deal-cycli aanzienlijk.

Je DPA met Attorly is klaar om te beoordelen

Attorly levert een AVG-artikel-28-conforme DPA die versleuteling in rust en in transit, Bring-Your-Own-Key op Enterprise en melding van datalekken binnen 72 uur dekt.

Bekijk Attorlys DPA