Is jouw bedrijf een ‘verwerker’ volgens de privacywet (AVG)? Dan is de kans groot dat je samenwerkt met andere partijen die een deel van de verwerking op zich nemen, ten behoeve van jouw klant (de verwerkingsverantwoordelijke). Deze ‘andere partijen’ noemen we subverwerkers.
In deze blog gaan we dieper in op wat subverwerkers zijn, welke rol ze spelen in het geheel van gegevensverwerking en waar je als verwerker rekening mee moet houden op het moment dat je subverwerkers inzet.
Wat is een subverwerker?
Subverwerkers zijn externe partijen die door jou, als verwerker, worden ingeschakeld om te assisteren bij de verwerking van persoonsgegevens. Hierbij kun je denken aan bedrijven die specifieke taken uitvoeren, zoals gegevensopslag, betalingstransacties of marketingdiensten. Met andere woorden, een subverwerker is een externe partij die door jou als verwerker wordt aangesteld om bepaalde verwerkingshandelingen te verrichten.
Een voorbeeld: Bedrijf A biedt een online SaaS-oplossing aan, dat wordt gehost op het platform van bedrijf B. Aangezien bedrijf B de verwerker is, wordt bedrijf C beschouwd als een subverwerker.
Toestemming vragen voor het inschakelen van subverwerkers
Je mag als verwerker niet zomaar andere organisaties inschakelen om je te helpen bij de verwerking van persoonsgegevens die jouw verwerkingsverantwoordelijke (‘klant’) aan je heeft opgedragen. Een subverwerker kan alleen worden ingeschakeld indien je daarvoor schriftelijke toestemming hebt gekregen van de verwerkingsverantwoordelijke. In de praktijk zien we dat deze toestemming wordt geregeld door het opnemen van een toestemmingsclausule in de verwerkersovereenkomst tussen de verwerker en verwerkingsverantwoordelijke. De toestemmingsclausule kan op verschillende manieren worden vormgegeven. Kort gezegd zijn er twee manieren mogelijk:
- Specifieke toestemming: De verwerkingsverantwoordelijke geeft expliciet toestemming voor het inschakelen van een specifieke subverwerker. Deze benadering biedt gedetailleerde controle over de keuze van subverwerkers en de aard van hun taken.
- Algemene toestemming: De toestemmingsclausule kan ook breder geformuleerd zijn, waarbij de verwerkingsverantwoordelijke algemene toestemming geeft voor het inschakelen van subverwerkers. Hierbij wordt het proces efficiënter, maar het is van belang dat de algemene toestemming duidelijk en transparant is omschreven.
Vaak is het handig om algemene toestemming te verkrijgen, waardoor je als verwerker niet bij elke nieuwe subverwerker toestemming van al je klanten hoeft te vragen. Dit is efficiënter. Let wel op dat jouw klant, de verwerkingsverantwoordelijke, het recht heeft om bezwaar te maken tegen de inzet van een nieuwe subverwerker.
Wat voor afspraken moet ik met een subverwerker maken?
Volgens de AVG blijf jij als verwerker volledig aansprakelijk voor het ‘doen en niet-doen’ van de subverwerker die je inschakelt. Als jouw subverwerker er een potje van maakt en bepaalde privacy-verplichtingen niet nakomt, ben jij daar als verwerker dus (mede-)verantwoordelijk voor. Daarom is het belangrijk – en verplicht – om aan de subverwerkers die je inschakelt, minimaal hetzelfde niveau van privacybescherming op te leggen als dat jij als verwerker hebt. Zo waarborg je dat de bescherming van persoonsgegevens op het vereiste niveau blijft, zelfs wanneer je taken delegeert aan subverwerkers.
Contract voor subverwerkers
Afspraken met jouw subverwerker maak je het liefst in een subverwerkersovereenkomst. Deze overeenkomst zorgt ervoor dat dezelfde verplichtingen die jij als verwerker hebt, ook door jouw subverwerkers worden nageleefd. Belangrijk is dat de subverwerker in ieder geval belooft om persoonsgegevens op minstens hetzelfde veiligheidsniveau te behandelen als jijzelf, als verwerker, hebt afgesproken met je klanten (verwerkingsverantwoordelijken).
Een voorbeeld: Als je als verwerker een geavanceerde encryptietechnologie toepast om persoonsgegevens te beschermen, dien je ervoor te zorgen dat de subverwerker zich eveneens committeert aan het gebruik van vergelijkbare of gelijkwaardige beveiligingsmaatregelen bij het verwerken van dezelfde gegevens.
Hulp nodig bij het opstellen van een subverwerkersovereenkomst? Neem gerust contact op met onze privacy-juristen.