Wanneer verwerkersbeheer van toepassing is en wat je daarna doet
Kort antwoord
Het praktische doel van verwerkersbeheer is niet alleen een eis interpreteren. Het is die eis omzetten in een herhaalbare workflow met owners, gedocumenteerde besluiten en bewijs dat een review doorstaat.
Voor wie dit geldt: Compliance leads, security teams, audit owners, founders en operations leaders die zich voorbereiden op klantreviews of formele assessments
Wat je nu moet doen
- Maak een lijst van vendor-, product-, support-, infrastructuur-, analytics- en AI-workflows waarin een derde persoonsgegevens verwerkt.
- Bepaal of elke relatie controller-processor, processor-subprocessor, zelfstandige controller of gemengd is.
- Leg owner, goedkeuringstrigger, contractbewijs, securitybewijs, subprocessor-checkpoint en reviewritme vast.
Wanneer verwerkersbeheer van toepassing is en wat je daarna doet
Verwerkersbeheer is van toepassing wanneer een andere organisatie persoonsgegevens verwerkt voor je SaaS-bedrijf, of wanneer je bedrijf klantgegevens als verwerker verwerkt en daaronder weer een derde inzet. De praktische vraag is niet alleen of er een vendor is. De vraag is of persoonsgegevens op instructie worden verwerkt en of de relatie aantoonbaar beheerst is.
Voor SaaS-teams is het antwoord vaak ja. Hosting, support, CRM, product analytics, billing, identity, observability, klantberichten, security monitoring, AI-tools, data warehouses en uitbestede support kunnen verwerker- of subprocessorrelaties vormen.
Artikel 28 AVG vereist dat een controller alleen verwerkers gebruikt die voldoende garanties bieden voor passende technische en organisatorische maatregelen. De verwerking moet worden geregeld door een contract of andere bindende rechtshandeling met onderwerp, duur, doel, datatypes, categorieen betrokkenen en rechten en plichten van de controller.
Operationeel betekent dit gedocumenteerde instructies, vertrouwelijkheid, beveiligingsmaatregelen, voorwaarden voor subprocessors, hulp bij rechten van betrokkenen, verwijdering of teruggave aan het einde van de dienst en informatie om compliance aan te tonen.
Wanneer dit duidelijk geldt
Het geldt duidelijk wanneer een derde persoonsgegevens verwerkt voor een bepaald product- of bedrijfsdoel onder jouw instructies.
Veelvoorkomende SaaS-voorbeelden zijn cloudinfrastructuur, helpdesk, chat, call tools, transactionele e-mail, product analytics, session replay, billing, betalingen, identity-platforms, logs, backups, incident response, CRM, marketing automation, AI-tools voor samenvatten of zoeken en externe support- of operationsdiensten.
Eenzelfde bedrijf kan meerdere rollen hebben. Een SaaS-aanbieder kan verwerker zijn voor klantworkspacegegevens, controller voor webanalytics en medewerkersdata, en controller bij het beoordelen van eigen leveranciers. De werkelijkheid van de verwerking telt dus meer dan het label in het contract.
Wanneer het minder duidelijk is
Grensgevallen gaan vaak over beperkte toegang, optionele features, interne tools of vendors die zeggen dat ze geen klantdata opslaan. Sla de review niet over omdat het "alleen metadata" is. Persoonsgegevens kunnen verschijnen in logs, supportbijlagen, identifiers, accountnotities, telemetrie, prompts, exports en admin dashboards.
De EDPB-richtlijnen helpen omdat ze kijken naar wie de doeleinden en essentiele middelen bepaalt. Als een vendor data gebruikt voor eigen productverbetering, advertising, benchmarking of modeltraining, is de relatie misschien geen simpele verwerkersrelatie.
Wat je eerst doet
Begin met een snelle inventaris van relaties die persoonsgegevens raken. Leg per relatie vast: juridische vendornaam, product, business owner, technical owner, workflow, rolbeoordeling, datacategorieen, betrokken personen, systeemtoegang, DPA, subprocessors, securitybewijs, datalocatie, transfers, bewaartermijn, verwijdering, klantdisclosure en volgende review.
Het register hoeft op dag een niet perfect te zijn. Het moet bruikbaar genoeg zijn zodat legal, security, product, procurement, customer success en audit owners vanuit dezelfde feiten antwoorden.
Plaats review in de operationele workflow
Verwerkersbeheer faalt wanneer review pas start nadat de tool live is. De trigger hoort in procurement, product launch, security review en vendor onboarding.
Een praktisch intakeformulier vraagt welke persoonsgegevens de vendor ontvangt of ziet, welke klanten of gebruikers geraakt worden, of er subprocessors zijn, waar data wordt gehost of benaderd, of de vendor data voor eigen doelen gebruikt en welk bewijs bestaat rond DPA, security, transfers en verwijdering.
Security beoordeelt technische en organisatorische maatregelen. Privacy of legal beoordeelt rol, DPA, instructies, subprocessors en transfers. Procurement beheert contract en verlengingen. Product of engineering bezit configuratiegrenzen. Compliance zorgt dat bewijs later vindbaar is.
Beheer subprocessors voordat klanten vragen stellen
Subprocessors zijn dubbel belangrijk: je vendors kunnen ze gebruiken, en je klanten verwachten vaak een duidelijke lijst, wijzigingsnotificaties en bezwaarproces volgens de DPA.
Artikel 28 vereist voorafgaande specifieke of algemene schriftelijke toestemming. Praktisch heb je een stabiele pagina of schedule nodig, een goedkeuringsworkflow en bewijs van review voordat een subprocessor wordt toegevoegd.
Bewijs dat een review doorstaat
Nuttig bewijs omvat DPA of online terms, rolanalyse, securityvragenlijst, securitydocumentatie, subprocessorlijst, transferwaarborg, goedkeuringsticket, residual-risk-besluit, retention settings, verwijderprocedure en klantdisclosure.
Dit ondersteunt GDPR-planning, data protection by design and default, data minimisation en het bredere punt dat GDPR niet alleen cookie banners zijn.
Praktisch voorbeeld
Een SaaS-bedrijf wil een AI-tool toevoegen die supporttickets samenvat. De tool kan namen, e-mailadressen, account IDs, ticketinhoud, bijlagen en metadata ontvangen. Het team bepaalt eerst of de vendor als verwerker handelt of content voor eigen doelen gebruikt. Daarna volgen DPA, instructies, security, subprocessors, hosting, transfers, retention, training controls en klantverplichtingen.
Bij goedkeuring documenteert het register workflow, datacategorieen, owner, terms, transfer, configuratie, subprocessorstatus, bewijslocatie en reviewdatum.
FAQ
Wat moeten teams begrijpen?
Dat verwerkersbeheer geldt wanneer derden persoonsgegevens verwerken namens het bedrijf of onder de eigen verwerkersrol. Het moet owners, triggers, contractbewijs, securitybewijs, subprocessorcontroles en audit-ready records opleveren.
Waarom is dit praktisch belangrijk?
SaaS-teams leunen op derden voor product en bedrijfsvoering. Zonder controle kunnen DPAs, privacy notices, security questionnaires en auditantwoorden losraken van de werkelijkheid.
Wat documenteer je eerst?
Start met relaties die klantdata, security reviews, transfers, subprocessors, AI of klantdisclosures raken. Wijs owners toe, bevestig de rol en verzamel DPA- en securitybewijs.
Sources
- European Union, General Data Protection Regulation.
- European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
- Information Commissioner's Office, Contracts and liabilities between controllers and processors.
- European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.
Belangrijke termen in dit artikel
Primaire bronnen
- General Data Protection RegulationEuropean Union · Geraadpleegd 4 mei 2026
- Guidelines 07/2020 on the concepts of controller and processor in the GDPREuropean Data Protection Board · Geraadpleegd 4 mei 2026
- Contracts and liabilities between controllers and processorsInformation Commissioner's Office · Geraadpleegd 4 mei 2026
- Standard contractual clauses for controllers and processors in the EU/EEAEuropean Commission · Geraadpleegd 4 mei 2026
Verken gerelateerde hubs
Gerelateerde artikelen
Gerelateerde glossariumtermen
Klaar om je compliance te borgen?
Wacht niet tot overtredingen je bedrijf raken. Ontvang je uitgebreide compliance-rapport in enkele minuten.
Scan je website nu gratis