Skip to content

Subverwerkersbeheer onder de AVG

Image of Budi Voogt
Budi Voogt 22 mei 2026

U hebt uw leverancier gecontroleerd, de verwerkersovereenkomst getekend en bent doorgegaan naar het volgende urgente probleem. Ik heb dat vaker gedaan dan ik graag toegeef. Het probleem is dat uw leverancier op zijn beurt vertrouwt op eigen leveranciers (hosting, e-mailbezorging, analytics, support tooling), en onder de AVG horen die subverwerkers ook bij uw compliancebeeld. In mijn ervaring is subverwerkersbeheer precies waar veel verder nette privacyprogramma's ongemerkt beginnen te wankelen.

Dit is praktische guidance, geen juridisch advies.

Aan het einde van deze gids kunt u:

  • Begrijpen wat een subverwerker is en waarom AVG artikel 28 dit ook uw zorg maakt.
  • Weten hoe het kennisgeving-en-bezwaar-model werkt, en waar de deadline verborgen zit.
  • Een herhaalbare set gewoonten opbouwen om de subverwerkerslijst van elke leverancier actueel te houden.
  • Zien hoe u een audit trail opbouwt die standhoudt wanneer een klant of toezichthouder ernaar vraagt.

Wat een subverwerker eigenlijk is

Een subverwerker is een derde partij die uw verwerker inschakelt om te helpen bij het verwerken van persoonsgegevens namens u. Als uw CRM-leverancier host bij een cloudprovider en een aparte e-mailbezorgdienst gebruikt, zijn beide subverwerkers van uw data. U hebt misschien nooit iets met hen getekend, u hebt hun namen misschien nooit gehoord, en toch stromen de persoonsgegevens van uw klanten door hun systemen.

AVG artikel 28 bepaalt de voorwaarden. Uw verwerker moet uw toestemming krijgen voordat hij een subverwerker inschakelt, moet gelijkwaardige gegevensbeschermingsvoorwaarden doorleggen naar die partij, en blijft tegenover u aansprakelijk voor wat die partij doet. Dat laatste punt verdient aandacht. De verantwoordingsketen loopt terug naar u als verwerkingsverantwoordelijke, dus een zwakke schakel drie leveranciers verderop is nog steeds uw probleem wanneer er iets misgaat. Dit is dezelfde logica achter veel van leverancierscontractbeheer: de relatie eindigt niet bij de handtekening, maar loopt door via iedereen op wie uw contractpartij steunt.

Een subverwerkerslijst van een leverancier op het scherm beoordelen

Het kennisgeving-en-bezwaar-model

De meeste verwerkersovereenkomsten regelen toestemming via wat algemene toestemming wordt genoemd. In plaats van uw toestemming te vragen voor elke nieuwe subverwerker afzonderlijk (wat op schaal onwerkbaar zou zijn), houdt de verwerker een subverwerkerslijst bij en verplicht hij zich om u te informeren over toevoegingen of vervangingen. U krijgt vervolgens een periode, vaak 14 tot 30 dagen, om bezwaar te maken voordat de wijziging ingaat.

Die periode is waar alles om draait. Als u die niet bijhoudt, kunt u er geen gebruik van maken, en wordt u geacht te hebben ingestemd met een nieuwe partij die uw data verwerkt. De verplichting is echt, maar het mechanisme is gemakkelijk te missen, omdat de kennisgeving zelden met veel nadruk binnenkomt. U herkent dit waarschijnlijk: het komt binnen als een routinematige e-mail, een regel in de footer van een productupdate, of een changelog-item op een statuspagina die niemand in uw team volgt. Tegen de tijd dat iemand het opmerkt, is de window gesloten en is de nieuwe subverwerker al actief.

Wat kunt u binnen die window daadwerkelijk doen? In de praktijk een paar dingen:

  • De wijziging accepteren en vastleggen dat u deze hebt beoordeeld en geaccepteerd.
  • Bezwaar maken op redelijke gronden, wat meestal leidt tot een gesprek met de leverancier over alternatieven.
  • Intern escaleren als de nieuwe subverwerker zich in een rechtsgebied bevindt of een datacategorie verwerkt die uw eigen beoordelingsdrempels activeert.

Het punt is niet dat u vaak bezwaar zult maken. Meestal doet u dat niet. Het punt is dat u het recht om bezwaar te maken behoudt, en kunt laten zien dat u elke wijziging hebt overwogen in plaats van er slapend doorheen te lopen.

De lijst actueel houden

Praktisch subverwerkersbeheer komt neer op drie gewoonten.

Ten eerste: weet wie er vandaag op de lijst staat voor elke leverancier, en bewaar die informatie ergens waar u die daadwerkelijk kunt terugvinden. Een snapshot die u twee jaar geleden tijdens procurement hebt opgeslagen, is niet de actuele lijst. Ik heb gemerkt dat het helpt om de subverwerkerslijst van elke leverancier te behandelen als een levend dossier dat aan de verwerkersovereenkomst zelf is gekoppeld, niet als een eenmalige bijlage die in een gedeelde drive veroudert. Een centrale contractopslagplaats is hiervoor de natuurlijke plek, omdat de lijst naast de overeenkomst staat die haar regelt.

Ten tweede: vang de wijzigingskennisgevingen op, en behandel elke kennisgeving als een beslissing met een deadline in plaats van als een FYI. Dit is de gewoonte die het vaakst wegvalt, omdat de kennisgevingen zijn ontworpen om voor de leverancier zo frictieloos mogelijk te zijn, niet om voor u maximale zichtbaarheid te hebben.

Ten derde: houd een audit trail bij. Wat was de lijst, wanneer veranderde die, bent u op tijd geïnformeerd, en hebt u bezwaar gemaakt? Wanneer er een security questionnaire van een klant of een verzoek van een toezichthouder binnenkomt, is die trail uw bewijs. Zonder die trail reconstrueert u de geschiedenis uit geheugen en inboxarcheologie, en ik beloof u dat dat geen fijne middag is.

Zo kunt u eenvoudig denken over wat elke gewoonte oplevert:

GewoonteWat u bewaartWaarom het ertoe doet
De actuele lijst kennenEen gedateerde lijst per leverancierBeantwoordt "wie raakt onze data nu?"
De kennisgevingen opvangenEen vastgelegde beslissing per wijzigingBehoudt uw recht om bezwaar te maken
De trail bijhoudenEen tijdlijn van wijzigingen en reactiesBewijs voor klanten en toezichthouders

De moeilijkste van de drie is de audit trail, omdat subverwerkerswijzigingen verspreid over maanden en over veel leveranciers binnenkomen. Een kennisgeving in maart, twee in juli, een stille vervanging in oktober. Elke verwerkersovereenkomst, de actuele subverwerkerslijst en de wijzigingswindow op een plek bewaren, gekoppeld aan de leverancier, maakt dit beheersbaar in plaats van overweldigend. Dat is een groot deel van waarvoor beheer van verwerkersovereenkomsten is gebouwd, en het past binnen onze bredere AVG-compliancesoftware voor teams die het volledige beeld nodig hebben in plaats van één document.

Waar extractie haar waarde bewijst

Er is een stap die ik hierboven heb overgeslagen en die een eigen moment verdient. Wanneer u een nieuwe verwerkersovereenkomst tekent, zitten de voorwaarden over subverwerkers (de kennisgevingstermijn, de bezwaarwindow, waar de lijst staat, hoe wijzigingen worden gecommuniceerd) verborgen in compacte clausules die u één keer leest en daarna nooit meer opent. Die details handmatig uit elke overeenkomst halen is precies het soort werk dat naar beneden schuift zodra er iets urgenters verschijnt.

Dit is waar AI-contractanalyse de economische afweging verandert. In plaats van dat iemand paragraaf 9.3 van elke verwerkersovereenkomst leest om de bezwaarwindow te vinden, leest extractie van contractdata dit voor u en brengt het de datums en verplichtingen naar boven als gestructureerde velden die u kunt monitoren. Vooral voor complianceteams is die verschuiving van handmatig lezen naar geëxtraheerde, traceerbare data wat ervoor zorgt dat een subverwerkersprogramma een druk kwartaal overleeft. Als dit onder uw verantwoordelijkheid valt, laat de use case voor compliance officers zien hoe dit past in een dagelijkse workflow.

Een kort woord over vertrouwen, omdat dit telkens terugkomt zodra data en AI in dezelfde zin verschijnen. Contracko wordt in de EU gehost, uw contracten zijn versleuteld, toegang is rolgebaseerd, en wij trainen geen AI op uw contracten. De tooling die uw verwerkersovereenkomsten leest, voert ze niet stilletjes ergens een model in. U kunt daar meer over lezen op onze beveiligingspagina.

Mis de bezwaarwindow niet

Het makkelijkst te missen onderdeel in dit alles is de bezwaartermijn. Al het andere (de lijsten, de trail, de analyse) ondersteunt dat ene moment waarop niets doen u een recht kost dat u niet terugkrijgt. U kunt geen bezwaar maken tegen een wijziging die u niet hebt opgemerkt, en de kalender herinnert u daar niet vanzelf aan.

Een herinneringstool voor verwerkersovereenkomsten haalt de wijzigingswindows voor subverwerkers uit een overeenkomst (naast reviewdatums en auditrechten) en zet ze om in herinneringen, zodat een nieuwe subverwerker u nooit ontglipt terwijl de window om bezwaar te maken nog openstaat. Dat is het verschil tussen uw subverwerkers beheren en ze achteraf ontdekken. Wilt u zien hoe deze denkwijze doorloopt in de rest van contractrisico, dan behandelt ons artikel over de veelvoorkomende risico's in contractbeheer het bredere patroon.

Volgende stappen

Als uw subverwerkerslijsten nu verspreid staan over inboxen, screenshots en goede bedoelingen, begin dan klein. Kies uw drie leveranciers met het hoogste risico, vind hun actuele subverwerkerslijsten en noteer voor elk de bezwaarwindow. Dat alleen al laat zien of u de kennisgevingen hebt opgevangen of stilzwijgend wijzigingen hebt geaccepteerd die u nooit hebt gezien.

Wanneer u klaar bent om dit systematisch te maken in plaats van heroisch, is dat precies waarvoor we Contracko hebben gebouwd. Ik hoor oprecht graag hoe u vandaag met subverwerkerskennisgevingen omgaat, omdat geen twee programma's dit helemaal hetzelfde doen. Neem gerust contact op als u vragen hebt, ik lees en beantwoord elk bericht zelf.

Ga aan de slag met Contracko

Verban het gedoe rondom contract- en abonnementsbeheer. Contracko helpt je georganiseerd, op tijd en in controle te blijven. Begin vandaag nog met vereenvoudigen.

ennldefresitpt