DPA staat voor Data Processing Agreement. In het Nederlands: Verwerkersovereenkomst. Het is het contract dat artikel 28 van de AVG (en GDPR) verplicht stelt tussen een verantwoordelijke (de organisatie die bepaalt waarom persoonsgegevens worden verzameld) en een verwerker (de leverancier die de verwerking doet).
Gebruik je een SaaS-tool die persoonsgegevens van jouw klanten raakt, dan ben jij de verantwoordelijke, de leverancier de verwerker, en heb je een ondertekende Verwerkersovereenkomst nodig. Het is geen papierwerk-formaliteit. Het is wettelijk verplicht en toezichthouders vragen ernaar bij onderzoeken.
Wat een Verwerkersovereenkomst bevat
Een volledige Verwerkersovereenkomst behandelt negen onderwerpen, voorgeschreven door artikel 28. Onderwerp en duur van de verwerking. Aard en doel. Soort persoonsgegevens en categorieën betrokkenen. Verplichtingen en rechten van de verantwoordelijke. Verbintenis van de verwerker tot vertrouwelijkheid, beveiligingsmaatregelen en het inschakelen van sub-verwerkers alleen met toestemming. De plicht van de verwerker om mee te werken aan rechten van betrokkenen en datalekmeldingen. Teruggave of vernietiging van data bij einde contract. Auditrechten voor de verantwoordelijke.
De meeste leveranciers bieden een standaard-DPA. Je tekent hem als onderdeel van de algemene voorwaarden of als losse overeenkomst. Grotere klanten onderhandelen soms over clausules, vooral rond auditrechten en sub-verwerker-disclosure.
Waarom je hem echt zou moeten lezen
Een Verwerkersovereenkomst is naar juridische maatstaven kort, meestal vier tot acht pagina's. Scan op drie dingen. Eén: de bijlage met beveiligingsmaatregelen, soms Annex II of TOMs genoemd (Technische en Organisatorische Maatregelen), die beschrijft wat de leverancier daadwerkelijk doet om data te beschermen. Twee: de sub-verwerkerslijst, óf ingebed óf verwezen als een onderhouden webpagina. Drie: de verklaring over data residency, welke landen data wel of niet bereikt.
Is een van die drie vaag, generiek, of verwijst hij naar een sub-verwerkerslijst die niet bestaat, dan is dat een probleem.
DPA en AI
Gebruikt de leverancier AI, dan moet de Verwerkersovereenkomst expliciet zijn over de vraag of klantdata wordt gebruikt voor training. Het helderste antwoord is "nee", contractueel vastgelegd. Ergens moet staan "wij gebruiken klantdata niet om onze modellen te trainen". Staat het er niet, dan zegt die afwezigheid iets.
In Keloa
In Keloa staat de Verwerkersovereenkomst op onze juridische pagina in zowel Nederlands als Engels. Hij bevat de beveiligingsmaatregelen, de sub-verwerkerslijst, de data residency belofte en een expliciete geen-training-clausule. Zie beveiliging voor de context.