Search
Close this search box.

Verwerkersovereenkomst SaaS

Heb je als SaaS-provider hulp nodig bij het opstellen van een verwerkersovereenkomst? Of weet je niet zeker of je er überhaupt een nodig hebt? Contact us!

Verwerkersovereenkomst voor SaaS

Met de Algemene Verordening Gegevensbescherming (AVG) die de bescherming van persoonlijke gegevens in Europa reguleert, is het cruciaal voor jou als SaaS-providers om te begrijpen of je een verwerkersovereenkomst nodig hebt. 

Heb ik als SaaS-provider een verwerkersovereenkomst nodig?

Als de verwerking van persoonsgegevens aan jou wordt toevertrouwd, dien je als SaaS-provider een verwerkersovereenkomst te sluiten. Als SaaS-provider ben je overigens vaak zowel verwerkingsverantwoordelijke voor sommige gegevens als verwerker voor andere gegevens. Best complex dus!

Laten we een voorbeeld bekijken: stel je voor dat je een SaaS-bedrijf bent dat een geavanceerd klantrelatiebeheersysteem (CRM) aanbiedt. Bedrijven gebruiken jouw CRM om klantgegevens op te slaan, te beheren en te analyseren. Hier komt de tweeledige rol van jouw bedrijf naar voren:

Verwerkingsverantwoordelijke: Als SaaS-provider ben je de verwerkingsverantwoordelijke voor de gegevens die jouw klanten rechtstreeks aan jouw CRM-systeem verstrekken. Dit omvat informatie zoals bedrijfsnamen, contactgegevens en andere gegevens die ze in het systeem invoeren.

Verwerker: Tegelijkertijd fungeer je als verwerker voor de gegevens die jouw klanten aan jouw CRM toevertrouwen. Dit kunnen gevoelige klantinformatie en persoonlijke gegevens zijn die jouw klanten in het systeem opslaan en beheren.

Als je voor het CRM-systeem gebruik maakt van externe partijen, zoals hosting, moet je ook een subverwerkersovereenkomst sluiten met die partijen (subverwerkers genoemd). Bevinden die partijen zich buiten de Europese Economische Ruimte? Dan zul je ook nog moeten kijken naar een adequaatheidsbesluit of modelcontract.

SaaS: verwerker of verwerkingsverantwoordelijke?

Zoals we hierboven in het voorbeeld al even beschreven, ben je als SaaS-provider waarschijnlijk zowel verwerkingsverantwoordelijke als verwerker voor verschillende gegevens. Dit kan inderdaad complex lijken, maar het is essentieel om de juiste rol te begrijpen en te vervullen om te voldoen aan de AVG-richtlijnen. 

Je bent een verwerkingsverantwoordelijke wanneer je beslist over de doelen en de middelen van de verwerking (bijvoorbeeld als het gaat om jouw eigen website, nieuwsbrieven, betalingsgegevens, enzovoort) en verwerker wanneer je de persoonsgegevens verwerkt in opdracht van jouw klanten (bijvoorbeeld bij het CRM-systeem). Als verwerker moet je je houden aan de instructies van jouw klanten.

SaaS en privacy (AVG)

De AVG, die sinds mei 2018 van kracht is, heeft de manier waarop organisaties persoonlijke gegevens verwerken en beschermen in Europa ingrijpend veranderd. Deze verordening is niet alleen van toepassing op organisaties binnen de EU, maar ook op diegenen die persoonlijke gegevens van EU-burgers verwerken, ongeacht waar ze zich bevinden. Hierdoor worden ook veel SaaS-providers beïnvloed die niet in de EU gevestigd zijn. 

Onder de AVG hebben individuen meer controle over hun privacy. Ze hebben het recht om te weten welke gegevens worden verzameld, waarom ze worden verzameld en hoe ze worden gebruikt. Organisaties, waaronder SaaS-providers, moeten daarom transparant zijn in hun gegevensverwerkingsactiviteiten en ervoor zorgen dat ze voldoen aan strikte normen voor gegevensbescherming.

Verwerkersovereenkomst voor software-as-a-service opstellen

De kans is dus groot dat je als SaaS-provider als verwerker wordt beschouwd onder de AVG en een verwerkersovereenkomst moet sluiten met jouw klanten. In zo’n verwerkersovereenkomst moet in ieder geval iets worden opgenomen over de categorieën van persoonsgegevens die worden bewerkt, welke beveiligingsmaatregelen je hebt getroffen en of je gebruik maakt van sub-verwerkers. 

Verwerkersovereenkomst voor SaaS laten opstellen door ICT-juristen

Onze juristen zijn gespecialiseerd in het ICT-rechtInternetrecht en helpen regelmatig SaaS-providers bij het opstellen van hun verwerkersovereenkomst(en). 

Hulp nodig bij het opstellen van een verwerkersovereenkomst voor jouw SAAS-dienst? Neem gerust contact met ons op. 

mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).