Download Model data processor agreement (WK as controller) - Nederlandse versie

 Download Model data processor agreement (WK as controller) - English version

 

Wat is een DPA?

Een DPA is een data processing agreement of ook wel een verwerkersovereenkomst.

Wanneer Wolters Kluwer met leveranciers werkt die persoonsgegevens (van klanten, prospecten, werknemers, …) verwerken in het kader van de dienstverlening, is het sluiten van een verwerkingsovereenkomst of DPA verplicht. Onder de GDPR betekent dit dat:

  • Wolters Kluwer is de verwerkingsverantwoordelijke (controller) van deze gegevens. Wolters Kluwer beslist zelf welke gegevens verwerkt worden, wat zij ermee doet en waarom zij deze verwerkt. Zij geeft ook de opdracht aan (sub)verwerkers om de gegevens te verwerken. De GDPR koppelt een reeks verplichtingen en verantwoordelijkheden aan deze rol.
  • De leverancier in dit verhaal de verwerker (processor) is van deze gegevens. Hij verwerkt de gegevens louter in opdracht van Wolters Kluwer en mag er verder niets mee doen.

De GDPR verplicht alle verantwoordelijken en verwerkers om een overeenkomst of DPA af te sluiten over de verwerking van de gegevens. 

Naast het feit dat een DPA verplicht opgelegd wordt door de wetgeving, is het voor beide partijen belangrijk om deze DPA te tekenen!

Wat staat er in een DPA?

Beperkte verwerking van de gegevens:
de leverancier mag de gegevens enkel verwerken om de gevraagde dienstverlening te kunnen leveren en moet de instructies van Wolters Kluwer hierin naleven.

Informatie en ondersteuning bij vragen van de betrokkenen

Als verwerker moet de leverancier Wolters Kluwer informeren en ondersteunen in de naleving van de GDPR in haar producten en diensten, onder andere omtrent:

  • Het ondersteunen van Wolters Kluwer in het beantwoorden van vragen van betrokkenen.
  • Het melden, stoppen en herstellen van een datalek.
  • Het vragen van toestemming voordat hij met subverwerkers werkt of gegevens doorgeeft.
  • De beveiliging van de gegevens tijdens de dienstverlening / verwerking.
  • Het opleiden en informeren van eigen personeel en het naleven van de juiste interne procedures rond GDPR.

Wat verwacht Wolters Kluwer van haar leveranciers?

Leveranciers dienen de bijlages aan de DPA (contactgegevens en informatie over de verwerking van persoonsgegevens) in te vullen en de hele DPA ondertekend terug te zenden aan Wolters Kluwer. Een ingescande versie van de DPA volstaat.

Wolters Kluwer zal op haar beurt de DPA tegentekenen en een scan van de finale versie terugsturen.

Wie ondertekent de DPA?

De DPA wordt ondertekend door één of meerdere personen die bevoegd zijn om de onderneming te vertegenwoordigen en contract af te sluiten.

Als onderneming hebben wij een eigen versie van een DPA. Kan deze gebruikt worden?

Wolters Kluwer heeft honderden leveranciers met wie zij een DPA dient af te sluiten om in regel te zijn met de nieuwe privacywetgeving. U zal dan ook begrijpen dat het individueel nakijken en ondertekenen van honderden verschillende DPA’s een onmogelijke inspanning zou vragen. Aangezien Wolters Kluwer tevens de verwerkingsverantwoordelijke is en daarmee het grootste deel van de eindverantwoordelijkheid en informatieverplichtingen naar buiten toe draagt, is het cruciaal dat de DPA’s met onze leveranciers alle elementen bevatten die Wolters Kluwer nodig acht om aan haar verplichtingen te voldoen.