Search
Close this search box.
mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Privacy for SAAS-providers: een juridische checklist (AVG)

Als SAAS-provider bied je software as a service aan via de cloud. Naja, “cloud”… je maakt gewoon gebruik van een server natuurlijk (en waar die server precies moet staan is al een interessante privacy-vraag!). De impact van de Algemene Verordening Gegevensbescherming (AVG) op SAAS-applicaties is groot. Dat is eigenlijk ook helemaal niet zo verrassend, aangezien veel SAAS-applicaties nou eenmaal grote hoeveelheden data verwerken. Het is vrijwel onvermijdelijk dat er tussen al die data ook persoonsgegevens zitten. Natuurlijk heb je bij de ontwikkeling van jouw SAAS-applicatie al rekening gehouden met privacy, zoals de privacy-instellingen van de applicatie.

Wat betekent het voor jouw SAAS-applicatie dat de AVG van toepassing is? Welke privacy documenten moet je opstellen? Ben je een verwerker, een verwerkingsverantwoordelijk of allebei? Hoe moet je klanten informeren over hun privacy-rechten? We geven je alvast enkele handvaten.

Breng de datastromen van je SAAS-applicatie in kaart

De AVG stelt een aantal eisen die elk facet van je SAAS-applicatie zouden kunnen beïnvloeden. Denk dan in het bijzonder aan eisen omtrent het verzamelen, verwerken en opslaan van persoonsgegevens. Je eerste taak als SAAS-provider is dan ook om de datastromen eens goed in kaart te brengen. Daarbij kunnen de volgende vragen je op weg helpen:

  • Welke persoonsgegevens verwerk je met jouw SAAS-applicatie?
  • Waarom verzamel je deze gegevens? Voor welke doeleinden?
  • Heb je alle gegevens die je verzamelt ook daadwerkelijk nodig?
  • Waar komen de persoonsgegevens vandaan die je verwerkt? Wat zijn de bronnen?
  • Waar bewaar je deze gegevens en voor hoe lang?
  • Met wie deel je persoonsgegevens en waarom?

Vul je verwerkingsregister(s) in en hou ze up-to-date

Als verwerker of verwerkingsverantwoordelijke moet je een register bijhouden van jouw gegevensverwerkingen. In dit register geef je onder meer de doeleinden van de verwerking aan, waarom je deze gegevens verzamelt en welke technische en organisatorische maatregelen je treft op het gebied van beveiliging. Dit register moet je bovendien up-to-date houden; als er dus iets aan de verwerking verandert, zal je het register daarop moeten aanpassen.

We zien in de praktijk vaak dat SAAS-providers zowel verwerker als verwerkingsverantwoordelijke zijn. Dit betekent dat je als SAAS-provider twee verwerkingsregisters moet bijhouden: één voor jouw rol als verwerker en één voor jouw rol als verantwoordelijke. Je mag zelf bepalen hoe je een verwerkingsregister wilt bijhouden. Het moet alleen wel overzichtelijk blijven. Denk aan een online tool of een simpel Excel-bestandje.

Verwerkersovereenkomst voor SAAS opstellen

Een SAAS-provider kan doorgaans worden beschouwd als een verwerker onder de AVG. Dit betekent dat je een schriftelijke verwerkersovereenkomst dient te sluiten met de verwerkingsverantwoordelijke (vaak is dit de afnemer van de dienst). In de verwerkersovereenkomst moet in ieder geval iets komen te staan over de aard en doeleinden van de verwerking, welke persoonsgegevens je verwerkt en de categorieën van betrokkenen.

Op het moment dat gegevens worden doorgegeven aan partijen die zich buiten de Europese Economische Ruimte bevinden, zul je ook moet kijken naar een adequaatheidsbesluit of een (Europees) modelcontract.

Protocol meldplicht datalekken opstellen

Als SAAS-provider zie je hopelijk het belang in van een degelijke gegevensbeveiliging. Tegelijkertijd is de kans aanwezig dat jouw SAAS-applicatie een keer het slachtoffer wordt van een datalek. Op het moment dat een datalek is geconstateerd (of je hiervan een sterk vermoeden hebt), dien je actie te ondernemen. Welke stappen er precies gezet moeten worden, hangt af van het type datalek. Zo hoef je niet altijd een melding te doen bij de Autoriteit Persoonsgegevens wanneer er sprake is van een datalek. Of een datalek gemeld moet worden bij de AP hangt namelijk af van de impact van het datalek op betrokkenen.

Ingeval van een datalek, wil je als SAAS-provider snel en effectief kunnen reageren om reputatieschade te beperken en boetes van de AP te voorkomen. Het opstellen van een intern protocol “meldplicht datalekken” is daarbij een belangrijke eerste stap.

Privacyverklaring voor SAAS-applicatie

Als SAAS-provider heb je een privacyverklaring nodig. Daarin leg je bijvoorbeeld uit wat de gegevens zijn die je verzamelt en welke rechten de betrokkenen hebben. Een privacyverklaring moet in duidelijke taal zijn opgesteld. Gebruik hiervoor liever geen juridisch jargon, maar plain language dat voor iedereen te begrijpen is.

Als je een privacyverklaring hebt geschreven, is het slim om deze ook af en toe te actualiseren. Wijzigingen in wet- of regelgeving kunnen bijvoorbeeld invloed hebben op jouw privacyverklaring. Houd deze daarom goed in de gaten en pas je verklaring aan waar nodig.

Privacy voor SAAS goed regelen?

De privacywetgeving is veelomvattend en er zijn tal van verplichtingen waar je als SAAS-provider aan moet voldoen. Het goed regelen van privacy begint in ieder geval met het in kaart brengen van alle verwerkingen die je doet. Daarna is het tijd om de juiste privacy-documenten op te laten stellen, zoals een verwerkersovereenkomst en een privacyverklaring.

Onze privacy officers staan klaar om je te helpen. Neem vrijblijvend contact met ons op zodat we samen kunnen kijken welke stappen er gezet moeten worden.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).