Checklist verwerkersbeheer voor founders en compliance leads
Kort antwoord
Het praktische doel van verwerkersbeheer is niet alleen een verplichting interpreteren. Het is die verplichting omzetten in een herhaalbaar proces met eigenaren, gedocumenteerde besluiten en toetsbaar bewijs.
Voor wie dit geldt: Privacyteams, compliance leads, product managers, legal teams, security teams en SaaS-founders
Wat je nu moet doen
- Breng workflows, systemen en leveranciersrelaties in kaart waar verwerkersbeheer nu al dagelijks werk raakt.
- Definieer eigenaar, trigger, beslismoment en minimaal bewijs dat nodig is voor een consistent proces.
- Documenteer de eerste praktische wijziging die onduidelijkheid verlaagt voor de volgende audit, klantreview of lancering.
Checklist verwerkersbeheer voor founders en compliance leads
Verwerkersbeheer werkt het best als operationele checklist, niet als eenmalige juridische interpretatie. Een SaaS-team moet kunnen vaststellen wanneer een leverancier persoonsgegevens namens de organisatie verwerkt, welke rol geldt, welke contract- en securitybewijzen bestaan, welke subverwerkers worden gebruikt en wanneer opnieuw moet worden beoordeeld.
Het doel is dat elke relatie een eigenaar, doel, gedocumenteerd besluit, bewijsdossier en reviewtrigger heeft. Zonder die antwoorden is het proces nog niet operationeel.
1. Bevestig of het geldt
De checklist geldt wanneer een derde partij persoonsgegevens verwerkt namens de organisatie en volgens haar instructies. Zij geldt ook wanneer de SaaS-aanbieder als verwerker voor klantdata optreedt en zelf subverwerkers gebruikt.
Controleer of de leverancier gegevens ontvangt, opslaat, inziet, doorgeeft, analyseert of genereert; of hij gedocumenteerde instructies volgt; of hij eigen doelen bepaalt; welke soorten data betrokken zijn; en of subverwerkers toegang krijgen.
De EDPB-richtlijnen zijn belangrijk omdat de rol afhangt van de feitelijke verwerking, niet alleen van het contractlabel.
2. Maak een bruikbaar register
Elke goedgekeurde verwerker heeft een praktisch record nodig: juridische naam, product, interne eigenaar, doel, rolbeoordeling, datacategorieen, betrokkenen, gekoppelde systemen, datalocatie, transferroute, DPA-status, security review, subverwerkers, bewaartermijnen, verwijdering, klantdisclosure, laatste review en volgende trigger.
Dit register houdt legal, security, product, procurement, sales en compliance op dezelfde feiten.
3. Controleer artikel 28
Het contract of een andere bindende handeling moet onderwerp en duur, aard en doel, soorten persoonsgegevens, categorieen betrokkenen en rechten en plichten van de verwerkingsverantwoordelijke beschrijven. Het moet ook gedocumenteerde instructies, vertrouwelijkheid, beveiliging, assistentie, verwijdering of teruggave, compliance-informatie, audits en subverwerkersvoorwaarden behandelen.
De standaardcontractbepalingen van de Europese Commissie kunnen als gestructureerde referentie dienen, maar vervangen de beoordeling van de concrete relatie niet.
4. Controleer garanties en bewijs
Voldoende garanties zijn meer dan een DPA. Beoordeel toegangscontrole, authenticatie, logging, encryptie, tenantscheiding, incidentrespons, kwetsbaarheden, certificeringen, retentie, verwijdering, supporttoegang en gebruik van data voor AI-training of productverbetering.
De diepte moet passen bij het risico. Een leverancier met klantinhoud of productietoegang vraagt meer toetsing dan een laag-risico interne tool.
5. Beheer subverwerkers
Vraag welke subverwerkers toegang hebben, welke dienst zij leveren, waar verwerking plaatsvindt, of gelijkwaardige verplichtingen gelden, welke autorisatie de DPA vereist, hoe klanten worden geinformeerd, wie bezwaren behandelt en wanneer engineering een nieuwe afhankelijkheid mag inschakelen.
De interne lijst moet overeenkomen met de publieke subverwerkerspagina of DPA-bijlage.
6. Leg transfers, bewijs en triggers vast
Registreer waar data wordt gehost, waar toegang vandaan komt en welk transfermechanisme geldt. Raad niet. Als de route onduidelijk is, hoort verwerking nog niet te starten.
Bewaar DPA, rolanalyse, security review, subverwerkerslijst, transfermechanisme, configuratievoorwaarden, goedkeuringsticket, restrisicobesluit en volgende reviewdatum. Herbeoordeel bij nieuwe features, subverwerkers, regio's, AI-functies, verlengingen, klantverplichtingen of verouderd bewijs.
FAQ
Wat is het praktische doel?
Controle krijgen over verwerking door derden: weten wie data verwerkt, welke instructies gelden, welk bewijs bestaat en wanneer opnieuw beoordeeld wordt.
Wanneer geldt dit voor SaaS-teams?
Wanneer een leverancier of subverwerker persoonsgegevens namens het team verwerkt, of wanneer de SaaS-aanbieder subverwerkers gebruikt voor klantdata.
Wat documenteer je eerst?
Begin met het register voor leveranciers die klant- of productiedata raken: eigenaar, doel, rol, data, DPA, security, subverwerkers, transfer, besluit en volgende trigger.
Bronnen
- European Union, General Data Protection Regulation.
- European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
- Information Commissioner's Office, Contracts and liabilities between controllers and processors.
- European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.
Belangrijke termen in dit artikel
Primaire bronnen
- General Data Protection RegulationEuropean Union · Geraadpleegd 3 mei 2026
- Guidelines 07/2020 on the concepts of controller and processor in the GDPREuropean Data Protection Board · Geraadpleegd 3 mei 2026
- Contracts and liabilities between controllers and processorsInformation Commissioner's Office · Geraadpleegd 3 mei 2026
- Standard contractual clauses for controllers and processors in the EU/EEAEuropean Commission · Geraadpleegd 3 mei 2026
Verken gerelateerde hubs
Gerelateerde artikelen
Gerelateerde glossariumtermen
Klaar om je compliance te borgen?
Wacht niet tot overtredingen je bedrijf raken. Ontvang je uitgebreide compliance-rapport in enkele minuten.
Scan je website nu gratis