Verwerkersovereenkomsten leveranciers

Wat is een sub-verwerker en wanneer moet je toestemming geven voor het gebruik ervan?

Eva de Vries Eva de Vries
· · 5 min leestijd

Stel je voor: je hebt een supergoed idee voor een app. Je wilt een database bouwen, e-mails versturen en misschien wel een chatfunctie toevoegen.

Inhoudsopgave
  1. Sub-verwerker: de hulptroep achter de schermen
  2. Wanneer geef je toestemming voor een sub-verwerker?
  3. De verantwoordelijkheid blijft bij jou
  4. Praktische tips voor het omgaan met sub-verwerkers
  5. Waarom dit belangrijk is voor jouw bedrijf

Je bent de baas over je eigen project, dus je regelt alles zelf.

Maar soms heb je hulp nodig. Je schakelt een bedrijf in om de servers te hosten of een dienst om betaalverkeer te regelen. In de wereld van privacywetten zoals de AVG (Algemene Verordening Gegevensbescherming) noemen we zo’n hulptroep een sub-verwerker.

Het klinkt ingewikkeld, maar het is eigenlijk heel logisch. Laten we het samen ontdekken, zonder ingewikkelde juridische taal.

Sub-verwerker: de hulptroep achter de schermen

Een sub-verwerker is simpelweg een bedrijf of persoon die jou helpt bij het verwerken van persoonsgegevens, maar niet zelf de hoofdverantwoordelijke is.

Jij bent de hoofdverantwoordelijke, want jij bepaalt waarom en hoe de gegevens worden gebruikt. De sub-verwerker voert taken uit in jouw opdracht. Denk aan een cloudprovider zoals Amazon Web Services (AWS) of Microsoft Azure. Zij slaan jouw data op, maar ze bepalen niet wat er met die data gebeurt.

Jij geeft de opdracht. Een ander voorbeeld is een e-mailmarketingtool zoals Mailchimp of ActiveCampaign.

Jij stuurt de inhoud, zij verzorgen de technische verzending. Of een betaalprovider zoals Stripe of Mollie: zij regelen de transacties, maar jij bent verantwoordelijk voor de klantgegevens.

Het belangrijkste verschil tussen een 'gewone' leverancier en een sub-verwerker is de toegang tot persoonsgegevens. Een kantoorleverancier die alleen pennen levert, is geen sub-verwerker. Een IT-bedrijf dat jouw klantendatabase beheert, wel. Zij verwerken namelijk persoonsgegevens namens jou.

Wanneer geef je toestemming voor een sub-verwerker?

Je mag niet zomaar een sub-verwerker inschakelen. De AVG eist dat je toestemming hebt van de persoon wiens gegevens je verwerkt, tenzij er een andere wettelijke basis is.

In de praktijk gaat het vaak om de uitvoering van een overeenkomst. Als iemand iets bij je koopt, moet je de bestelling kunnen verwerken. Daarvoor heb je soms hulp nodig.

Maar wanneer moet je expliciet toestemming vragen? Dat hangt af van de situatie.

In veel gevallen hoef je geen aparte toestemming te vragen voor het inschakelen van een sub-verwerker, mits je duidelijk communiceert in je privacyverklaring dat je gebruikmaakt van derden. Je moet wel zorgen dat je een verwerkersovereenkomst sluit met de sub-verwerker. Dat is een contract waarin staat dat zij net zo zorgvuldig met de gegevens omgaan als jij.

Toestemming is wel nodig als de verwerking buiten de normale verwachtingen valt. Stel je voor: je verzamelt e-mailadressen voor een nieuwsbrief via Mailchimp.

Dan is het logisch dat Mailchimp die adressen verwerkt. Maar als je die e-mailadressen plotseling doorgeeft aan een derde partij voor een compleet andere dienst, zoals een verzekeraar, dan heb je wel degelijk nieuwe toestemming nodig.

De klant moet weten dat zijn gegevens voor iets anders worden gebruikt. Een praktisch voorbeeld: je hebt een webshop. Je gebruikt Shopify voor de website en Google Analytics voor de statistieken. Beide zijn sub-verwerkers. In je privacyverklaring zet je dat je gebruikmaakt van deze diensten.

Als een klant iets koopt, gaat hij akkoord met je algemene voorwaarden en privacybeleid. Daarmee geef je indirect toestemming voor de noodzakelijke sub-verwerkers.

Maar als je later besluit om klantdata te delen met een sociaal netwerk voor gerichte advertenties, moet je daar expliciet toestemming voor vragen. Je kunt niet zomaar van koers wijzigen.

De verantwoordelijkheid blijft bij jou

Als hoofdverantwoordelijke blijf je altijd aansprakelijk. Als een sub-verwerker een datalek heeft, ben jij degene die moet melden bij de Autoriteit Persoonsgegevens.

Daarom is het cruciaal om zorgvuldig te kiezen wie je inschakelt. Kies voor betrouwbare partijen die voldoen aan de AVG.

Vraag naar hun certificeringen, zoals ISO 27001, of hun naleving van het Privacy Shield (hoewel dat laatste onderhevig is aan veranderingen). Een deugdelijke verwerkersovereenkomst is hierbij je beste vriend. In dit contract leg je vast dat de sub-verwerker alleen op jouw instructies mag handelen, dat ze de gegevens beveiligen en dat ze helpen bij het uitoefenen van rechten van betrokkenen (zoals het recht op inzage of verwijdering).

Zonder zo’n overeenkomst loop je risico’s. Het is niet verplicht om de overeenkomst te registreren bij de Autoriteit Persoonsgegevens, maar het is wel slim om het te doen voor je eigen administratie. Bij het selecteren van een sub-verwerker kijk je naar een paar key factoren. Ten eerste: hoe veilig zijn hun systemen? Gebruiken ze encryptie?

Hoe kies je de juiste sub-verwerker?

Ten tweede: wat is hun privacybeleid? Zitten ze in een land met voldoende privacybescherming, zoals binnen de EU?

Als ze buiten de EU zitten, zoals in de VS, controleer dan of ze voldoen aan de EU-US Data Privacy Framework. Ten derde: zijn ze transparant?

Een goede sub-verwerker geeft je inzicht in hun processen. Populaire sub-verwerkers zijn vaak te vinden in de tech-wereld. Denk aan Salesforce voor CRM, Google Workspace voor e-mail en documenten, en Zapier voor automatisering.

Deze partijen hebben standaard verwerkersovereenkomsten beschikbaar. Lees ze wel even door, ook al zijn ze standaard. Het voorkomt verrassingen.

Praktische tips voor het omgaan met sub-verwerkers

Om het overzicht te houden, maak je een lijst van alle sub-verwerkers die je gebruikt.

Dit is niet wettelijk verplicht, maar het helpt enorm bij je privacybeheer. Begin met de belangrijkste: hosting, e-mail, betaalverkeer en analytics. Vervolgens check je of je een verwerkersovereenkomst hebt. Zo niet, vraag deze dan aan bij de partij.

De meeste grote bedrijven hebben een standaardversie op hun website. Verder is communicatie key.

Vertel je klanten in je privacyverklaring wie je inschakelt en waarom. Wees eerlijk en transparant. Klanten waarderen dat.

Een voorbeeldtekst: "Wij maken gebruik van diensten van [naam sub-verwerker] voor [doel], zoals het hosten van onze website. Zij verwerken je gegevens volgens onze afspraken." En tot slot: blijf up-to-date.

De wereld van privacywetten verandert snel. Sub-verwerkers kunnen van dienst veranderen of stoppen.

Plan jaarlijks een check. Zo voorkom je dat je onbedoeld een overtreding maakt.

Waarom dit belangrijk is voor jouw bedrijf

Sub-verwerkers zijn onmisbaar in de digitale wereld, maar ze brengen verantwoordelijkheden met zich mee.

Door slim om te gaan met toestemming en contracten, bouw je vertrouwen op bij je klanten. Je voorkomt boetes van de Autoriteit Persoonsgegevens, die oplopen tot 4% van de jaaromzet. En je houdt je eigen processen strak.

Of je nu een freelancer bent of een groot bedrijf runt, het begint met bewustzijn. Vraag je af: wie helpt mij met gegevens?

En heb ik de juiste afspraken gemaakt? Met deze kennis sta je sterker.

Je hoeft geen jurist te zijn om dit te regelen; het is gewoon logisch nadenken en goede voorbereiding. Zo blijft je bedrijf veilig en succesvol.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →