Data Processing Agreement (DPA) - voor leveranciers

Wat is een DPA?

Een DPA is een data processing agreement of ook wel een verwerkingsovereenkomst.

Wanneer Wolters Kluwer met leveranciers werkt die persoonsgegevens (van klanten, prospecten, werknemers, …) verwerkt in het kader van de dienstverlening, is het sluiten van een verwerkingsovereenkomst of DPA verplicht.

Onder de GDPR betekent dit dat:

  • Wolters Kluwer verantwoordelijke (controller) is van deze gegevens. Wolters Kluwer beslist zelf welke gegevens verwerkt worden, wat zij ermee doet en waarom zij deze verwerkt. Zij geeft ook de opdracht aan (sub)verwerkers om de gegevens te verwerken. De GDPR koppelt een reeks verplichtingen en verantwoordelijkheden aan deze rol.
  • De leverancier in dit verhaal de verwerker (processor) is van deze gegevens. Hij verwerkt de gegevens louter in opdracht van Wolters Kluwer en mag er verder niets mee doen.

De GDPR verplicht alle verantwoordelijken en verwerkers om een overeenkomst of DPA af te sluiten over de verwerking van de gegevens.

Naast het feit dat een DPA verplicht opgelegd wordt door de wetgeving, is het voor beide partijen belangrijk om deze DPA te tekenen!

wat-dpa-leveranciers

Wat staat er in een DPA?

Beperkte verwerking van de gegevens: de leverancier mag de gegevens enkel verwerken om de gevraagde dienstverlening te kunnen leveren en moet de instructies van Wolters Kluwer hierin naleven.

 

Informatie en ondersteuning bij vragen van de betrokkenen
Als verwerker moet de leverancier Wolters Kluwer informeren en ondersteunen in de naleving van de GDPR in haar producten en diensten, onder andere omtrent:

  • Het ondersteunen van Wolters Kluwer in het beantwoorden van vragen van betrokkenen.
  • Het melden, stoppen en herstellen van een datalek.
  • Het vragen van toestemming voordat hij met subverwerkers werkt of gegevens doorgeeft.
  • De beveiliging van de gegevens tijdens de dienstverlening / verwerking.
  • Het opleiden en informeren van eigen personeel en het naleven van de juiste interne procedures rond GDPR.
wat-staat-in-dpa-leveranciers

Wat verwacht Wolters Kluwer van haar leveranciers?

Leveranciers dienen de bijlages aan de DPA (contactgegevens en informatie over de verwerking van persoonsgegevens) in te vullen en de hele DPA ondertekend terug te zenden aan Wolters Kluwer. Een ingescande versie van de DPA volstaat.

Wolters Kluwer zal op haar beurt de DPA tegentekenen en een scan van de finale versie terugsturen.

Wie ondertekent de DPA?

De DPA wordt ondertekend door één of meerdere personen die bevoegd zijn om de onderneming te vertegenwoordigen en contract af te sluiten.

Als onderneming hebben wij een eigen versie van een DPA. Kan deze gebruikt worden?

Wolters Kluwer heeft honderden leveranciers met wie zij een DPA dient af te sluiten om in regel te zijn met de nieuwe privacywetgeving. U zal dan ook begrijpen dat het individueel nakijken en ondertekenen van honderden verschillende DPA’s een onmogelijke inspanning zou vragen. Aangezien Wolters Kluwer tevens de verwerkingsverantwoordelijke is en daarmee het grootste deel van de eindverantwoordelijkheid en informatieverplichtingen naar buiten toe draagt, is het cruciaal dat de DPA’s met onze leveranciers alle elementen bevatten die Wolters Kluwer nodig acht om aan haar verplichtingen te voldoen.

 

 

Uw vragen en opmerkingen

Heeft u een meer algemene vraag of wenst u in het kader van GDPR iets te melden? Via dit formulier kunnen wij op een efficiënte manier uw vraag verwerken.

U kan Wolters Kluwer steeds bereiken op wkbe-gdpr@wolterskluwer.com om uw toestemming in te trekken, uw persoonsgegevens in te kijken, te verbeteren, te laten wissen, beperkt te laten verwerken of over te dragen. Voor meer informatie kan u onze Privacy Policy nalezen.