Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Privacywet: wat moet je weten over subverwerkers?

Is jouw bedrijf een ‘verwerker’ volgens de privacywet (AVG)? Dan is de kans groot dat je samenwerkt met andere partijen die een deel van de verwerking op zich nemen, ten behoeve van jouw klant (de verwerkingsverantwoordelijke). Deze ‘andere partijen’ noemen we subverwerkers.

In deze blog gaan we dieper in op wat subverwerkers zijn, welke rol ze spelen in het geheel van gegevensverwerking en waar je als verwerker rekening mee moet houden op het moment dat je subverwerkers inzet. 

Wat is een subverwerker?

Subverwerkers zijn externe partijen die door jou, als verwerker, worden ingeschakeld om te assisteren bij de verwerking van persoonsgegevens. Hierbij kun je denken aan bedrijven die specifieke taken uitvoeren, zoals gegevensopslag, betalingstransacties of marketingdiensten. Met andere woorden, een subverwerker is een externe partij die door jou als verwerker wordt aangesteld om bepaalde verwerkingshandelingen te verrichten.

Een voorbeeld: Bedrijf A biedt een online SaaS-oplossing aan, dat wordt gehost op het platform van bedrijf B. Aangezien bedrijf B de verwerker is, wordt bedrijf C beschouwd als een subverwerker.

Toestemming vragen voor het inschakelen van subverwerkers

Je mag als verwerker niet zomaar andere organisaties inschakelen om je te helpen bij de verwerking van persoonsgegevens die jouw verwerkingsverantwoordelijke (‘klant’) aan je heeft opgedragen. Een subverwerker kan alleen worden ingeschakeld indien je daarvoor schriftelijke toestemming hebt gekregen van de verwerkingsverantwoordelijke. In de praktijk zien we dat deze toestemming wordt geregeld door het opnemen van een toestemmingsclausule in de verwerkersovereenkomst tussen de verwerker en verwerkingsverantwoordelijke. De toestemmingsclausule kan op verschillende manieren worden vormgegeven. Kort gezegd zijn er twee manieren mogelijk:

  1. Specifieke toestemming: De verwerkingsverantwoordelijke geeft expliciet toestemming voor het inschakelen van een specifieke subverwerker. Deze benadering biedt gedetailleerde controle over de keuze van subverwerkers en de aard van hun taken.
  2. Algemene toestemming: De toestemmingsclausule kan ook breder geformuleerd zijn, waarbij de verwerkingsverantwoordelijke algemene toestemming geeft voor het inschakelen van subverwerkers. Hierbij wordt het proces efficiënter, maar het is van belang dat de algemene toestemming duidelijk en transparant is omschreven.

Vaak is het handig om algemene toestemming te verkrijgen, waardoor je als verwerker niet bij elke nieuwe subverwerker toestemming van al je klanten hoeft te vragen. Dit is efficiënter. Let wel op dat jouw klant, de verwerkingsverantwoordelijke, het recht heeft om bezwaar te maken tegen de inzet van een nieuwe subverwerker.


Wat voor afspraken moet ik met een subverwerker maken?

Volgens de AVG blijf jij als verwerker volledig aansprakelijk voor het ‘doen en niet-doen’ van de subverwerker die je inschakelt. Als jouw subverwerker er een potje van maakt en bepaalde privacy-verplichtingen niet nakomt, ben jij daar als verwerker dus (mede-)verantwoordelijk voor. Daarom is het belangrijk – en verplicht – om aan de subverwerkers die je inschakelt, minimaal hetzelfde niveau van privacybescherming op te leggen als dat jij als verwerker hebt. Zo waarborg je dat de bescherming van persoonsgegevens op het vereiste niveau blijft, zelfs wanneer je taken delegeert aan subverwerkers. 

Contract voor subverwerkers

Afspraken met jouw subverwerker maak je het liefst in een subverwerkersovereenkomst. Deze overeenkomst zorgt ervoor dat dezelfde verplichtingen die jij als verwerker hebt, ook door jouw subverwerkers worden nageleefd. Belangrijk is dat de subverwerker in ieder geval belooft om persoonsgegevens op minstens hetzelfde veiligheidsniveau te behandelen als jijzelf, als verwerker, hebt afgesproken met je klanten (verwerkingsverantwoordelijken).

Een voorbeeld: Als je als verwerker een geavanceerde encryptietechnologie toepast om persoonsgegevens te beschermen, dien je ervoor te zorgen dat de subverwerker zich eveneens committeert aan het gebruik van vergelijkbare of gelijkwaardige beveiligingsmaatregelen bij het verwerken van dezelfde gegevens.

Hulp nodig bij het opstellen van een subverwerkersovereenkomst? Neem gerust contact op met onze privacy-juristen

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).