Geldt de Microsoft DPA als verwerkersovereenkomst?
Ja, het Microsoft Data Protection Addendum is bedoeld als AVG art. 28-overeenkomst voor klanten in de EU. Hetzelfde geldt voor Google Workspace en de meeste grote SaaS.
Probeer dit eerst zelf
- 1Download de actuele versie via het Microsoft 365 admin center > Privacy en gegevens > Data Protection Addendum, of via de Microsoft Trust Center site.
- 2Download apart het Products and Services Data Protection Addendum (DPA) en de Data Subject Requests-bijlage. De DPA verwijst naar deze documenten.
- 3Sla de PDF op met datum in je compliance-map. Microsoft past het document soms aan, je wilt kunnen bewijzen welke versie ten tijde van een verwerking gold.
- 4Noteer in je verwerkersregister: leverancier Microsoft, basis Microsoft DPA, datum download, link naar Trust Center.
- 5Voor Google Workspace, AWS, Atlassian, Salesforce, Adobe gaat dit precies zo. Iedere grote SaaS heeft een online DPA.
Wanneer ons inschakelen
Bij sectoren met aanvullende eisen (zorg, overheid) volstaat een standaard DPA niet altijd. Dan moet je een Data Processing Agreement met sector-bijlage onderhandelen. Niet zelf doen.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.