Zoek
Sluit dit zoekvak.

Subverwerkersovereenkomst

Wanneer je als verwerker een externe partij inschakelt om je te helpen bij het verwerken van persoonsgegevens, moet je ervoor zorgen dat er duidelijke en bindende afspraken worden gemaakt met deze externe partij. Deze externe partij staat bekend als een subverwerker.

Overeenkomst met subverwerkers sluiten

Als je persoonsgegevens verwerkt voor anderen (je bent de verwerker), moet je niet alleen een verwerkersovereenkomst hebben met de verwerkingsverantwoordelijke, maar óók afspraken maken met bedrijven die je daarbij helpen, de zogenaamde subverwerkers. Volgens artikel 28 van de AVG ben je als verwerker verplicht om bindende afspraken te maken met deze subverwerkers, bijvoorbeeld in de vorm van een zogeheten subverwerkersovereenkomst. In deze overeenkomst moeten zij, kort gezegd, dezelfde verplichtingen hebben voor het beschermen van persoonsgegevens als jijzelf als verwerker. 

De kans is groot dat je een subverwerker inzet voor meerdere, of misschien wel al je, klanten. Daarom is het verstandig om je eigen subverwerkersovereenkomst te gebruiken voor deze subverwerkers, waar mogelijk. Dan weet je zeker dat je jouw verplichtingen als verwerker nakomt, en de hele keten van verantwoordelijke – verwerker – subverwerker goed geregeld is.

Wat zijn subverwerkers?

Subverwerkers zijn externe partijen die door jou als verwerker worden ingeschakeld om te helpen bij het verwerken van persoonsgegevens. Denk hierbij aan bedrijven die specifieke taken uitvoeren, zoals gegevensopslag, betalingstransacties, of marketingdiensten. In andere woorden: een subverwerker is een door jou als verwerker ingeschakelde andere verwerker. 

Goed om te weten: als er sprake is van intern beheer en de desbetreffende personen onderworpen zijn aan jouw rechtstreekse gezag, dan zijn ze geen subverwerkers. Denk bijvoorbeeld aan personeel of een uitzendkracht die direct onder jouw gezag werkt. 

Het is, zoals gezegd, belangrijk om met alle subverwerkers bindende afspraken te maken om ervoor te zorgen dat zij dezelfde verplichtingen hebben voor gegevensbescherming als jijzelf. Zo draag je bij aan een veilige en conforme gegevensverwerking voor alle betrokkenen.

Heb ik toestemming nodig voor subverwerkers?

Als verwerker mag je alleen een subverwerker inzetten als je daarvoor toestemming van jouw klant (de verwerkingsverantwoordelijke) hebt gekregen. Je kunt deze toestemming op twee manier krijgen:

  • Door specifieke voorafgaande toestemming te regelen;
  • Door een algemene voorafgaande toestemming af te spreken.

Het is onze ervaring dat het verlenen van algemene toestemming vaak het meest praktisch is. Dan hoef je als verwerker niet elke keer als je een nieuwe subverwerker wilt inzetten al jouw klanten om toestemming te vragen. Wel zo efficiënt. Je klant (de verwerkingsverantwoordelijke) moet echter wel bezwaar kunnen maken tegen de inzet van een nieuwe subverwerker.

Subverwerkersovereenkomst laten opstellen door onze privacy-juristen

Het opstellen van een subverwerkersovereenkomst vereist juristen met diepgaande kennis van het privacyrecht. Onze privacy-juristen helpen je graag verder. Neem gerust contact met ons op voor meer informatie. 

Picture of mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).