Een Verwerkersovereenkomst (DPA) is een juridisch bindend contract vereist door AVG Artikel 28 tussen een verwerkingsverantwoordelijke (jij) en een verwerker (bijv. je cloudprovider, AI API-provider, analysetool). Het specificeert welke data wordt verwerkt, hoe die wordt beschermd en wat er gebeurt als er iets misgaat. Voor AI-startups zijn DPA's cruciaal omdat je waarschijnlijk meerdere externe AI- en clouddiensten gebruikt die persoonsgegevens van je gebruikers verwerken.
Wat een DPA moet bevatten:
- Reikwijdte en doel: Welke persoonsgegevens worden verwerkt, voor welk doel en hoe lang? Wees specifiek over AI-gerelateerde verwerking zoals modelinference, logging en analytics.
- Beveiligingsmaatregelen: Welke technische en organisatorische maatregelen implementeert de verwerker? Encryptie, toegangscontrole, incidentrespons, etc.
- Subverwerkers: Mag de verwerker subverwerkers inschakelen? Je moet geïnformeerd worden en het recht hebben bezwaar te maken. De meeste AI-providers gebruiken een keten van subverwerkers — zorg dat je weet wie ze zijn.
- Rechten van betrokkenen: De verwerker moet je helpen bij het reageren op inzage-, rectificatie- en verwijderingsverzoeken van je gebruikers.
- Auditrechten: Je moet het recht hebben compliance te verifiëren, via audits of door certificeringen te ontvangen (bijv. SOC 2-rapporten).
- Teruggave en verwijdering: Wat gebeurt er als het contract eindigt? Data moet worden teruggegeven of verwijderd.
Hoe begin je:
- Controleer of je AI-providers (OpenAI, Anthropic, Google) al een standaard DPA aanbieden — de meeste doen dat, vaak gekoppeld vanaf hun privacypagina.
- Beoordeel elke DPA tegen bovenstaande vereisten. Let op datalocatie, subverwerkerlijsten en beleid rond gebruik van trainingsdata.
- Voor kleinere leveranciers zonder standaard DPA, gebruik de richtlijnen van de Autoriteit Persoonsgegevens als template.
Tidal Control helpt je al je verwerkersovereenkomsten te volgen, subverwerkerwijzigingen te monitoren en een actueel register bij te houden van alle verwerkingsrelaties.