Gratis model Verwerkersovereenkomst voor België
Een ondertekenklaar Data Processing Agreement (DPA) volgens artikel 28 AVG, de Belgische Wet van 30 juli 2018 en de Europese Modelcontractbepalingen 2021/914. Onmisbaar zodra een leverancier — hostingpartij, CRM-platform, marketingbureau of sociaal secretariaat — voor uw rekening persoonsgegevens verwerkt in België.
Tel: +32 9 234 56 78 · E-mail: eline.dewachter@ghent-marketplace.be
Tel: +32 15 234 56 78 · E-mail: bart.vermeulen@mechelen-cloud.be
Ghent Marketplace BV, BV, met maatschappelijke zetel te Korenmarkt 7, 9000 Gent, ingeschreven in de KBO onder nummer 0712.345.678, vertegenwoordigd door Eline De Wachter, Gedelegeerd bestuurder, optredend als « Verwerkingsverantwoordelijke » in de zin van artikel 4.7 AVG,
EN
Mechelen Cloud Hosting NV, NV, met maatschappelijke zetel te Bruul 22, 2800 Mechelen, ingeschreven in de KBO onder nummer 0856.789.012, vertegenwoordigd door Bart Vermeulen, Chief Technology Officer, optredend als « Verwerker » in de zin van artikel 4.8 AVG,
Hierna gezamenlijk de « Partijen » genoemd,
WORDT UITEENGEZET EN OVEREENGEKOMEN ALS VOLGT:
Aangezien de Verwerker aan de Verwerkingsverantwoordelijke diensten levert in het kader van Raamovereenkomst voor cloud hosting en infrastructuurbeheer ondertekend op 15 januari 2026 tussen de Partijen (ref. MCH-2026-027), voor een B2C e-commerceplatform. (de « Hoofdovereenkomst »);
Aangezien de uitvoering van die Hoofdovereenkomst de verwerking van persoonsgegevens voor rekening van de Verwerkingsverantwoordelijke met zich meebrengt;
Aangezien deze verwerking, overeenkomstig artikel 28 AVG, moet worden geregeld in een schriftelijke overeenkomst die de verplichtingen van de Verwerker vastlegt;
Wordt deze verwerkersovereenkomst (de « DPA ») gesloten in toepassing van Verordening (EU) 2016/679 (AVG), de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en, in voorkomend geval, het Uitvoeringsbesluit (EU) 2021/914 dat de Modelcontractbepalingen voor internationale doorgiften vaststelt.
Bij tegenstrijdigheid tussen de Hoofdovereenkomst en deze DPA op het vlak van gegevensbescherming, prevaleren de bepalingen van deze DPA, conform de vereisten van artikel 28 §3 AVG.
a) « Persoonsgegevens »: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4.1 AVG);
b) « Verwerking »: elke bewerking met betrekking tot persoonsgegevens (art. 4.2 AVG);
c) « Verwerkingsverantwoordelijke »: degene die het doel van en de middelen voor de verwerking vaststelt (art. 4.7 AVG);
d) « Verwerker »: degene die persoonsgegevens verwerkt voor rekening van de Verwerkingsverantwoordelijke (art. 4.8 AVG);
e) « Inbreuk in verband met persoonsgegevens »: een inbreuk die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of toegang (art. 4.12 AVG);
f) « GBA »: Gegevensbeschermingsautoriteit (Autorité de Protection des Données / APD), de bevoegde toezichthoudende autoriteit in België in de zin van artikel 51 AVG.
Aard van de verwerking: opslag / hosting (cloud, datacenter).
Doel(en): Hosting van de klantendatabank, exploitatie en operationeel onderhoud van het e-commerceplatform van de Verwerkingsverantwoordelijke, dagelijkse versleutelde back-ups, orderverwerking en verzending van transactionele meldingen (orderbevestiging, leveringsopvolging)..
Categorieën van betrokkenen: Particuliere klanten (B2C), prospecten met een aangemaakte account, anonieme sitebezoekers (analytische cookies).
Categorieën van gegevens: Identificatiegegevens (naam, voornaam, geboortedatum), contactgegevens (e-mail, telefoon, leverings- en facturatieadres), transactiegegevens (bestelgeschiedenis, Stripe betalingstokens), connectiegegevens (IP-adres, user-agent, navigatielogs).
Bijzondere categorieën (art. 9-10 AVG): geen bijzondere categorieën (art. 9 AVG niet van toepassing).
Duur van de verwerking: de duur van de hoofdovereenkomst.
De Verwerker verwerkt de gegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, met inbegrip van doorgiften buiten de EU/EER, tenzij hij krachtens dwingend recht is verplicht tot verwerking, in welk geval hij de Verwerkingsverantwoordelijke voorafgaand in kennis stelt (art. 28 §3 a) AVG).
a) persoonsgegevens uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke te verwerken, ook bij doorgiften buiten de EU/EER;
b) de vertrouwelijkheid te waarborgen door eenieder die toegang heeft tot de gegevens een geheimhoudingsplicht op te leggen of te onderwerpen aan een passende wettelijke geheimhoudingsplicht;
c) de beveiligingsmaatregelen vereist door artikel 32 AVG te treffen (zie art. 5 hieronder);
d) de voorwaarden inzake subverwerking te eerbiedigen zoals bepaald in artikel 9 hieronder (art. 28 §2 en §4 AVG);
e) de Verwerkingsverantwoordelijke bij te staan, voor zover mogelijk, in het beantwoorden van verzoeken tot uitoefening van rechten van de betrokkenen (art. 12 tot 22 AVG);
f) de Verwerkingsverantwoordelijke bijstand te verlenen bij het naleven van zijn verplichtingen op grond van artikelen 32 tot 36 AVG (beveiliging, melding van inbreuken, gegevensbeschermingseffectbeoordelingen, voorafgaande raadpleging van de GBA);
g) na afloop van de dienstverlening, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens te wissen of terug te bezorgen en bestaande kopieën te vernietigen (zie art. 11 hieronder);
h) de Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om de naleving van artikel 28 AVG aan te tonen en de uitvoering van audits mogelijk te maken.
Deze maatregelen omvatten ten minste:
a) de pseudonimisering en de versleuteling van persoonsgegevens;
b) middelen om op blijvende basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen;
c) middelen om bij een fysiek of technisch incident de beschikbaarheid van en toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de maatregelen om de beveiliging van de verwerking te waarborgen.
De gedetailleerde technische maatregelen zijn opgenomen in Bijlage 2 (beveiligingsmaatregelen), die kan worden aangevuld met de Expert-bijlage (versleuteling at rest/in transit, MFA, bewaartermijnen logs, enz.).
a) zich contractueel verbinden tot vertrouwelijkheid of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht;
b) de nodige opleiding krijgen op het vlak van gegevensbescherming en informatiebeveiliging;
c) uitsluitend toegang krijgen tot de gegevens voor zover noodzakelijk voor de uitoefening van hun taken (need-to-know-principe).
Deze verplichting strekt zich uit tot alle subverwerkers die zijn toegestaan overeenkomstig artikel 9 hieronder.
De melding van de Verwerker bevat, voor zover mogelijk:
a) de aard van de inbreuk, met inbegrip van de categorieën en het geschatte aantal betrokkenen en betrokken gegevens;
b) de naam en contactgegevens van de FG of een ander aanspreekpunt;
c) de waarschijnlijke gevolgen van de inbreuk;
d) de genomen of voorgestelde maatregelen om de inbreuk te verhelpen en de gevolgen ervan te beperken.
De Verwerker staat de Verwerkingsverantwoordelijke bij in de mededeling van de inbreuk aan de betrokkenen overeenkomstig artikel 34 AVG wanneer dit vereist is.
a) bij de beantwoording van verzoeken tot uitoefening van rechten van betrokkenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar — art. 12 tot 22 AVG) binnen een termijn die verenigbaar is met de termijn van één maand opgelegd aan de Verwerkingsverantwoordelijke (art. 12 §3 AVG);
b) bij de uitvoering van gegevensbeschermingseffectbeoordelingen (DPIA) vereist door artikel 35 AVG;
c) bij de voorafgaande raadpleging van de GBA in het kader van artikel 36 AVG wanneer uit de DPIA een hoog restrisico blijkt;
d) bij het bijhouden van het register van verwerkingsactiviteiten van de Verwerker overeenkomstig artikel 30 §2 AVG, dat op verzoek aan de GBA ter beschikking wordt gesteld.
Bij algemene toestemming houdt de Verwerker een actuele lijst bij van zijn subverwerkers en informeert hij de Verwerkingsverantwoordelijke ten minste dertig (30) dagen vooraf over elke voorgenomen wijziging, zodat deze de mogelijkheid heeft om binnen die termijn gemotiveerd bezwaar aan te tekenen.
De Verwerker legt elke subverwerker bij schriftelijke overeenkomst dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze DPA zijn opgenomen, in het bijzonder afdoende garanties voor het treffen van passende technische en organisatorische maatregelen (art. 28 §4 AVG).
De Verwerker blijft volledig aansprakelijk tegenover de Verwerkingsverantwoordelijke voor het nakomen door de subverwerker van diens verplichtingen.
Aangegeven locatie van de verwerkingen: Verenigde Staten (EU-US Data Privacy Framework, besluit 2023/1795).
Wanneer een doorgifte niet wordt gedekt door een adequaatheidsbesluit in de zin van artikel 45 AVG, treft de Verwerker passende waarborgen in de zin van artikel 46 AVG, in het bijzonder de Modelcontractbepalingen vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021, in de toepasselijke module (Module 2 Verantwoordelijke-naar-Verwerker of Module 3 Verwerker-naar-Verwerker).
De Verwerker voert daarnaast, in voorkomend geval, een doorgiftegevolgenbeoordeling (Transfer Impact Assessment) uit overeenkomstig de Schrems II-rechtspraak (HvJEU, C-311/18) en de aanbeveling 01/2020 van de Europese Toezichthouder voor gegevensbescherming (EDPB).
a) de volledige teruggave van de persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat; OF
b) de veilige vernietiging van alle persoonsgegevens, met inbegrip van back-ups, behoudens wanneer bewaring vereist is op grond van Unie- of Belgisch recht.
De Verwerker bezorgt in elk geval een schriftelijk vernietigingscertificaat met vermelding van de datum en de gebruikte methode. Geen enkele kopie mag worden bewaard voor eigen doeleinden van de Verwerker of een subverwerker.
De audits vinden plaats tijdens de kantooruren en mogen niet meer dan eenmaal per kalenderjaar plaatsvinden, behoudens bij een inbreuk in verband met persoonsgegevens of een verzoek van een toezichthoudende autoriteit. De auditkosten worden gedragen door de Verwerkingsverantwoordelijke, tenzij de audit een wezenlijke tekortkoming aantoont die aan de Verwerker te wijten is, in welk geval deze kosten ten laste van de Verwerker komen.
De Verwerker stelt de Verwerkingsverantwoordelijke schadeloos voor elke administratieve geldboete opgelegd door de GBA op grond van artikel 83 AVG of voor elke burgerlijke veroordeling, voor zover die sancties voortvloeien uit een aan de Verwerker of een van zijn subverwerkers toerekenbare tekortkoming.
Geen enkele aansprakelijkheidsbeperking uit de Hoofdovereenkomst is van toepassing op de schade die voortvloeit uit een tekortkoming aan de gegevensbeschermingsverplichtingen van deze DPA.
a) Versleuteling at rest (AES-256 of equivalent NIST/ENISA) toegepast op alle databanken en bestandssystemen die persoonsgegevens bevatten
b) Versleuteling in transit (TLS 1.3 minimum) op alle applicatiestromen en blootgestelde API's
c) Multifactorauthenticatie (MFA) verplicht voor alle bevoorrechte toegangen (beheerders, operations, support)
d) Toegangsbeheer volgens het beginsel van minimale privileges, kwartaalsgewijze herziening van rechten, onmiddellijke verwijdering bij beëindiging functie
e) Logging en bewaring van toegangslogs tot persoonsgegevens gedurende 12 maanden, met bescherming tegen wijziging
f) Penetratietesten (pentests) door externe partijen ten minste eenmaal per jaar en na elke ingrijpende architectuurwijziging
g) Bedrijfscontinuïteitsplan (BCP) en uitwijkplan (DRP) die ten minste jaarlijks worden getest.
Deze technische bijlage wordt ten minste jaarlijks bijgewerkt. Elke wezenlijke wijziging wordt binnen een redelijke termijn aan de Verwerkingsverantwoordelijke meegedeeld.
De bijlagen I.A (partijen), I.B (beschrijving van de doorgifte), I.C (bevoegde toezichthoudende autoriteit), II (technische en organisatorische maatregelen) en III (subverwerkers) worden ingevuld overeenkomstig de bijlagen 1 en 2 van deze DPA. De aangewezen bevoegde toezichthoudende autoriteit is de Belgische GBA.
Bij tegenstrijdigheid tussen de SCC en deze DPA prevaleren de SCC. De Verwerker verbindt zich ertoe onverwijld elke wijziging van het lokale recht te melden die hem mogelijk verhindert de SCC na te leven, conform de Schrems II-rechtspraak (HvJEU, C-311/18).
De Verwerker bezorgt op schriftelijk verzoek, en hoogstens eenmaal per jaar, een kopie van het geldige ISO 27001-certificaat en SOC 2 Type II-rapport. Het verlies of de niet-vernieuwing van een certificering wordt binnen vijftien (15) dagen aan de Verwerkingsverantwoordelijke gemeld en vormt, bij gebrek aan herstel binnen zes (6) maanden, een grond tot ontbinding wegens wanprestatie van de Hoofdovereenkomst.
De inspectie kan betrekking hebben op: (a) de fysieke beveiligingsmaatregelen, (b) het toegangsbeleid, (c) de auditlogs, (d) de procedures voor incidentenbeheer, (e) de documentatie van de subverwerkers. De Verwerker stelt de Verwerkingsverantwoordelijke een technische contactpersoon ter beschikking die ter plaatse vragen kan beantwoorden. Bij een audit naar aanleiding van een inbreuk in verband met persoonsgegevens of een verzoek van de GBA komen de inspectiekosten volledig ten laste van de Verwerker.
De polis dekt onder meer: (a) de kosten voor kennisgeving aan betrokkenen, (b) de kosten voor forensisch onderzoek, (c) de administratieve geldboeten AVG voor zover deze verzekerbaar zijn, (d) de schadevergoeding aan betrokkenen op grond van artikel 82 AVG. Een verzekeringsattest wordt binnen dertig (30) dagen na ondertekening van deze overeenkomst en bij elke jaarlijkse vernieuwing aan de Verwerkingsverantwoordelijke bezorgd.
Deze vergoeding doet geen afbreuk aan het recht van de Verwerkingsverantwoordelijke om volledige vergoeding van de geleden schade te vorderen (in het bijzonder voor de door de GBA opgelegde AVG-boetes), noch aan het recht om de Hoofdovereenkomst en deze DPA wegens wezenlijke wanprestatie met onmiddellijke ingang te ontbinden.
Wat is een verwerkersovereenkomst in België?
De verwerkersovereenkomst — internationaal Data Processing Agreement of DPA genoemd — is het juridische instrument dat artikel 28 van Verordening (EU) 2016/679 oplegt zodra een onderneming (de « verwerkingsverantwoordelijke ») een leverancier (de « verwerker ») inschakelt om voor haar rekening persoonsgegevens te verwerken. Zonder deze schriftelijke overeenkomst is de verwerking onrechtmatig onder de AVG en stellen beide partijen zich bloot aan sancties van de Gegevensbeschermingsautoriteit (GBA/APD), die kunnen oplopen tot 4 % van de wereldwijde jaaromzet of 20 miljoen euro.
In België geldt de verplichting voor iedere onderneming, ongeacht haar omvang. Of u nu een Antwerps cloudhostingbedrijf inschakelt, een Amerikaanse SaaS-CRM gebruikt, een Gents digitaal marketingbureau aanspreekt, een Brussels sociaal secretariaat raadpleegt of een Vlaamse loonverwerker contracteert: zodra gegevens van geïdentificeerde of identificeerbare natuurlijke personen (klanten, werknemers, prospecten, sollicitanten) aan een derde worden toevertrouwd, is een DPA vereist. De overeenkomst legt de aard en het doel van de verwerking vast, de categorieën van betrokkenen en gegevens, de looptijd, de minimale beveiligingsmaatregelen en de rechten van de verantwoordelijke inzake audit, melding van inbreuken en teruggave van gegevens.
Het Belgische juridische kader voegt verschillende lagen toe aan de Europese AVG. De Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (LCV) verfijnt de bevoegdheden van de Belgische GBA, de rechtsmiddelen en bepaalde sectorale verplichtingen. Het Uitvoeringsbesluit (EU) 2021/914 levert de Modelcontractbepalingen (SCC) die moeten worden ingebouwd voor elke doorgifte buiten de EU/EER zonder adequaatheidsbesluit, in het bijzonder naar de Verenigde Staten (EU-US Data Privacy Framework van juli 2023). Voor verwerkingen die elektronische communicatie betreffen blijft de ePrivacy-richtlijn 2002/58/EG met haar Belgische omzetting parallel van toepassing.
Wat dit sjabloon dekt
Het Doxuno-sjabloon dekt alle verplichte clausules van artikel 28 §3 AVG en biedt in de Expert-sectie de versterkte beschermingen die het verschil maken bij een GBA-controle of een gegevensinbreuk in België.
Beschrijving van de verwerking (Bijlage 1)
Aard, doeleinden, categorieën van betrokkenen en gegevens — vereiste art. 28 §3 AVG
Verplichtingen van de verwerker
De acht verplichtingen van art. 28 §3 a) tot h) clausule per clausule overgenomen
Beveiliging van de verwerking (art. 32)
Pseudonimisering, versleuteling, vertrouwelijkheid, integriteit, beschikbaarheid, veerkracht
Melding van inbreuk binnen 24 uur
Termijn afgestemd op de meldingsplicht van de verantwoordelijke aan de GBA binnen 72 uur
Bijstand DPIA en rechten betrokkenen
Medewerking aan effectbeoordelingen en aan verzoeken inzake inzage, rectificatie, wissing
Subverwerking strikt geregeld
Voorafgaande toestemming, opzeg 30 dagen, dezelfde verplichtingen in cascade opgelegd
Internationale doorgiften en SCC
Besluit EU 2021/914 — Modules 2 en 3 ingebouwd voor stromen buiten de EU/EER
Teruggave / vernietiging met certificaat
Termijn 30 dagen, schriftelijk certificaat, back-ups verwijderd
Auditrecht en inspectie ter plaatse
Jaarlijkse audit + fysieke inspectie ten laste van de verwerker bij wanprestatie
Gedetailleerde technische bijlage (Expert)
Versleuteling at rest/in transit, MFA, bewaartermijn logs, pentests, BCP/DRP
Cyberverzekering en boetebeding
Dekking AVG-boetes en forfaitaire vergoeding per DPA-tekortkoming
Toepasselijk recht en Belgische rechtbank
Ondernemingsrechtbank + recht op klacht art. 77 AVG bij de GBA/APD
Hoe stelt u uw verwerkersovereenkomst op in België?
Geen juridische voorkennis nodig: de Doxuno-generator begeleidt u sectie per sectie en levert in enkele minuten een conforme en afdwingbare DPA, klaar om te ondertekenen met uw leverancier in België.
- 1
Identificeer de twee partijen en hun FG
Vermeld de volledige handelsnaam, de rechtsvorm (BV, NV…), de maatschappelijke zetel en het KBO-nummer van uw onderneming (verwerkingsverantwoordelijke) en uw leverancier (verwerker) in België. Heeft een van beide partijen een Functionaris voor Gegevensbescherming (FG) aangesteld in de zin van artikel 37 AVG, voeg dan zijn contactadres toe — verplicht voor overheidsinstanties en sterk aanbevolen bij grootschalige verwerkingen.
- 2
Beschrijf de verwerking nauwkeurig (Bijlage 1)
Verbind de DPA aan de onderliggende hoofdovereenkomst (referentie en datum) en werk Bijlage 1 uit: aard van de verwerking (hosting, support, betaling, analytics…), precieze doeleinden, categorieën van betrokkenen (klanten, prospecten, werknemers) en categorieën van gegevens (identificatiegegevens, contactgegevens, betaalgegevens, IP-adres, logs). Deze nauwkeurigheid is vereist door artikel 28 §3 AVG en is het eerste punt dat de Belgische GBA onderzoekt bij een controle.
- 3
Vermeld bijzondere categorieën en de looptijd
Geef aan of de verwerking betrekking heeft op bijzondere categorieën in de zin van artikel 9 AVG (gezondheid, biometrie) of artikel 10 (strafrechtelijke gegevens), dan wel op gegevens van minderjarigen (art. 8). Kies vervolgens de looptijd: afgestemd op de hoofdovereenkomst voor de meeste SaaS-prestaties, of in vaste maanden voor eenmalige opdrachten. Bijzondere categorieën activeren automatisch versterkte vereisten op het vlak van beveiliging en DPIA.
- 4
Breng de doorgiften buiten EU/EER in kaart
Indien de verwerker of zijn eigen subverwerkers de gegevens hosten of raadplegen vanuit een derde land (Verenigde Staten, India, Verenigd Koninkrijk…), vinkt u de juiste optie aan. De generator activeert automatisch de Modelcontractbepalingen (SCC) van het Besluit EU 2021/914, in module 2 (verantwoordelijke→verwerker) of 3 (verwerker→verwerker). De Verenigde Staten genieten sinds juli 2023 het Data Privacy Framework, maar een Schrems II-beoordeling blijft aanbevolen.
- 5
Activeer de Expert-beschermingen en download
In de Expert-sectie activeert u de technische bijlage (AES-256-versleuteling, TLS 1.3, MFA, bewaring logs), eist u een ISO 27001-certificering of een SOC 2 Type II-rapport, het recht op inspectie ter plaatse, een cyberverzekering met minimumbedrag en een boetebeding per tekortkoming. Deze clausules vormen een generieke DPA om tot een echt governance-instrument — net wat ervaren FG's en grote inkoopafdelingen in België systematisch eisen. Download de PDF, onderteken en bewaar samen met uw register van verwerkingsactiviteiten.
Juridische overwegingen in België
AVG-conformiteit beperkt zich niet tot de tekst van de DPA: zij veronderstelt samenhang tussen de overeenkomst, uw werkelijke praktijken en de documentatie die ter beschikking van de Belgische GBA wordt gehouden. Verschillende punten verdienen in België bijzondere aandacht.
Dit sjabloon is uitsluitend ter informatie en vormt geen geïndividualiseerd juridisch advies. Voor risicovolle verwerkingen — gezondheidsgegevens, banksector, grootschalige operaties — of bij twijfel over de vereisten die op uw situatie in België van toepassing zijn, raadpleegt u een advocaat gespecialiseerd in digitaal recht ingeschreven aan de Belgische balie, of een gecertificeerde Functionaris voor Gegevensbescherming.
Inhoud nagekeken door juristen gespecialiseerd in Belgisch gegevensbeschermingsrecht. De clausules zijn herzien om conformiteit te garanderen met artikel 28 AVG, de Belgische Wet van 30 juli 2018 en de constante praktijk van de Gegevensbeschermingsautoriteit (GBA/APD) bij gangbare verwerkingen via subverwerking.
Artikel 28 AVG — verplichte clausules zonder onderhandelingsruimte
Artikel 28 §3 AVG somt acht verplichtingen op die in elke verwerkersovereenkomst dwingend moeten worden opgenomen: (a) verwerking uitsluitend op gedocumenteerde instructie, (b) vertrouwelijkheid van het personeel, (c) beveiliging art. 32, (d) strikt geregelde subverwerking, (e) bijstand voor de rechten van betrokkenen, (f) bijstand voor meldingen van inbreuk, DPIA en raadpleging van de GBA, (g) teruggave of vernietiging na afloop, (h) informatie en auditrecht. De afwezigheid van één enkele van deze clausules volstaat om de overeenkomst non-conform te verklaren en stelt beide partijen bloot aan GBA-sancties. Het Doxuno-sjabloon neemt deze acht verplichtingen clausule per clausule over, met de AVG-artikelverwijzingen, in de gratis secties A tot C.
GBA/APD — toezichthoudende autoriteit en klachtenprocedure
De Gegevensbeschermingsautoriteit (GBA), in het Frans Autorité de Protection des Données (APD), is gevestigd in de Drukpersstraat 35, 1000 Brussel. Zij is de toezichthoudende autoriteit in België in de zin van artikel 51 AVG. Elke betrokkene kan kosteloos online een klacht indienen. De GBA beschikt over uitgebreide bevoegdheden: bevel tot conformiteit, opschorting van grensoverschrijdende stromen, administratieve geldboetes tot 4 % van de wereldwijde omzet (art. 83 §5 AVG). Bij een inbreuk met een hoog risico moet de verantwoordelijke binnen 72 uur melden (art. 33), wat impliceert dat de verwerker zelf binnen 24 uur moet alarmeren — de termijn die ons sjabloon hanteert.
Internationale doorgiften en SCC 2021/914
Sinds het Schrems II-arrest (HvJEU, C-311/18, 16 juli 2020) moet elke doorgifte van gegevens buiten de EU/EER steunen op een adequaatheidsbesluit (art. 45) of op passende waarborgen (art. 46), in de eerste plaats de Modelcontractbepalingen vastgesteld bij Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021. Vier modules bestaan — module 2 (verantwoordelijke naar verwerker) en module 3 (verwerker naar verwerker) zijn de meest gebruikte in België. Daarnaast is een aanvullende doorgiftegevolgenbeoordeling (Transfer Impact Assessment) vereist om te verifiëren of het recht van het derde land de SCC niet ondermijnt. Voor de Verenigde Staten vormt het EU-US Data Privacy Framework dat in juli 2023 werd goedgekeurd (besluit 2023/1795) voortaan een autonome adequaatheidsgrondslag voor gecertificeerde organisaties.
Melding van inbreuk aan de GBA binnen 72 uur
Artikel 33 AVG verplicht de verwerkingsverantwoordelijke om elke inbreuk in verband met persoonsgegevens binnen 72 uur na kennisname aan de GBA te melden, behoudens wanneer de inbreuk waarschijnlijk geen risico inhoudt voor de rechten van de betrokkenen. Wanneer de inbreuk een hoog risico inhoudt, legt artikel 34 bovendien een individuele kennisgeving aan de betrokkenen op binnen de kortste termijn. Deze krappe planning verklaart waarom de DPA aan de verwerker een kortere meldingstermijn moet opleggen — 24 uur in ons sjabloon — om de verantwoordelijke de tijd te geven om te analyseren, te documenteren en te melden. Een vertraging in de melding is op zich beboetbaar door de Belgische GBA.
Veelgestelde vragen
Klaar om uw AVG-subverwerking in België in conformiteit te brengen?
Genereer in enkele minuten een professionele Data Processing Agreement, conform artikel 28 AVG en afdwingbaar voor de Belgische GBA. Gratis voor de basisversie, geen account vereist.
Gratuit · PDF instantané · Aucun compte requis