Orbiq LogoOrbiq
Subverwerker-beheer onder AVG Artikel 28: Wat verwerkingsverantwoordelijken werkelijk verwachten
Published 23 feb 2026
By Anna Bley

Subverwerker-beheer onder AVG Artikel 28: Wat verwerkingsverantwoordelijken werkelijk verwachten

Wat verwachten verwerkingsverantwoordelijken, functionarissen voor gegevensbescherming en inkoopteams werkelijk van uw subverwerker-beheer? Een praktische gids die verder gaat dan de minimale compliance van AVG Artikel 28 — over subverwerkerlijsten, wijzigingsmeldingen, datastroomtransparantie en doorlopende due diligence.

AVG
Gegevensbescherming
Subverwerkers
Compliance

Subverwerker-beheer onder AVG Artikel 28: Wat verwerkingsverantwoordelijken werkelijk verwachten

De meeste SaaS-bedrijven hebben ergens een subverwerkerlijst. Het staat in een PDF, bijgevoegd bij de verwerkersovereenkomst, voor het laatst bijgewerkt zes maanden geleden. Technisch gezien is dat niet fout. Operationeel is het niet genoeg. Dit artikel legt uit wat verwerkingsverantwoordelijken, functionarissen voor gegevensbescherming en inkoopteams werkelijk verwachten wanneer zij beoordelen hoe u subverwerkers beheert — en waarom het verschil tussen "compliant op papier" en "betrouwbaar in de praktijk" meer uitmaakt dan u denkt.

Samenvatting

AVG Artikel 28 vereist dat verwerkers toestemming van de verwerkingsverantwoordelijke verkrijgen voordat zij subverwerkers inschakelen, gelijkwaardige gegevensbeschermingsverplichtingen opleggen en aansprakelijk blijven voor naleving door subverwerkers. De meeste bedrijven handelen dit af via een statische lijst in hun verwerkersovereenkomst. Maar verwerkingsverantwoordelijken verwachten steeds meer: proactieve wijzigingsmeldingen, transparante datastromen en doorlopende zichtbaarheid van uw subverwerkersbeheer. Een Trust Center maakt dit operationeel — niet als compliance-afvinkexercitie, maar als een levend systeem dat uw klanten daadwerkelijk kunnen gebruiken.

Wat Artikel 28 werkelijk vereist

Laten we beginnen met de tekst. Artikel 28(2) en 28(4) stellen twee modellen vast voor subverwerker-autorisatie:

Voorafgaande specifieke toestemming — de verwerkingsverantwoordelijke keurt elke subverwerker individueel goed voordat deze wordt ingeschakeld. Dit geeft de verwerkingsverantwoordelijke maximale controle, maar is operationeel zwaar voor beide partijen.

Algemene schriftelijke toestemming — de verwerkingsverantwoordelijke geeft algehele goedkeuring voor de verwerker om subverwerkers in te schakelen, onder twee voorwaarden: de verwerker moet de verwerkingsverantwoordelijke informeren over beoogde toevoegingen of vervangingen, en de verwerkingsverantwoordelijke moet de gelegenheid krijgen om bezwaar te maken.

De meeste B2B SaaS-bedrijven werken met algemene toestemming. Het is de praktische keuze. Maar "algemene toestemming" betekent niet "doe wat u wilt" — het betekent "we vertrouwen erop dat u dit transparant beheert, en we behouden het recht om bezwaar te maken."

Artikel 28(4) voegt toe dat subverwerkers gebonden moeten worden door dezelfde gegevensbeschermingsverplichtingen als de verwerker. Als uw subverwerker tekortschiet, bent u aansprakelijk — niet zij.

Dat is het juridisch kader. Deze AVG-verwerkerverplichtingen zijn goed gedocumenteerd. Laten we nu bekijken wat er in de praktijk gebeurt.

Wat verwerkingsverantwoordelijken werkelijk verwachten

Als u verkoopt aan Europese zakelijke klanten, wordt uw subverwerker-beheer beoordeeld tijdens inkoop, gemonitord gedurende de relatie en kritisch bekeken bij audits. Dit is wat functionarissen voor gegevensbescherming en inkoopteams zoeken — verder dan de verwerkersovereenkomst.

1. Een actuele, publieke subverwerkerlijst

Dit klinkt basaal, en dat is het. Maar "actueel en toegankelijk" betekent voor een functionaris voor gegevensbescherming iets anders dan voor de meeste SaaS-bedrijven.

Wat de meeste bedrijven doen: Een tabel in de verwerkersovereenkomst of een PDF op een juridische pagina, bijgewerkt wanneer iemand eraan denkt het bij te werken. Soms staat de lijst achter een login of een NDA-verzoek.

Wat verwerkingsverantwoordelijken verwachten: Een publiek toegankelijke, helder gestructureerde lijst met de naam, het doel, de verwerkte gegevenscategorieën, de hostinglocatie en het land van vestiging van elke subverwerker. Bijgewerkt binnen dagen na een wijziging — niet maanden.

Het verschil is belangrijk omdat functionarissen voor gegevensbescherming uw subverwerkerlijst gebruiken om hun eigen register van verwerkingsactiviteiten bij te houden (Artikel 30). Als uw lijst verouderd is, kloppen hun gegevens niet. Als uw lijst verborgen zit in een PDF, moeten zij het handmatig extraheren. Als het achter een NDA staat, moeten zij aan hun juridische team uitleggen waarom zij een NDA moeten tekenen om te zien wie hun gegevens verwerkt.

Maak het gemakkelijk. Maak het publiek. Maak het actueel.

2. Proactieve meldingen bij subverwerkerwijzigingen

Artikel 28(2) vereist dat bij algemene toestemming verwerkingsverantwoordelijken "worden geïnformeerd over beoogde wijzigingen betreffende de toevoeging of vervanging van andere verwerkers, waardoor de verwerkingsverantwoordelijke de gelegenheid krijgt bezwaar te maken."

Wat de meeste bedrijven doen: De subverwerkerlijst stilletjes bijwerken. Misschien een e-mail sturen als de wijziging significant is. Vaak ontdekt de verwerkingsverantwoordelijke de wijziging tijdens hun eigen jaarlijkse leveranciersbeoordeling.

Wat verwerkingsverantwoordelijken verwachten: Schriftelijke melding vóórdat de wijziging ingaat, met voldoende detail om de impact te beoordelen: wie is de nieuwe subverwerker, welke gegevens zullen zij verwerken, waar zijn zij gevestigd, welke beveiligingsmaatregelen zijn er en wat is de tijdlijn.

De opzegtermijn is van belang. De meeste verwerkersovereenkomsten specificeren 30 dagen, maar sommige zakelijke klanten onderhandelen 60 of 90 dagen. Welke termijn u ook bent overeengekomen, de operationele vraag is: hebt u een systeem dat deze meldingen betrouwbaar verstuurt, of is het afhankelijk van iemand die eraan denkt?

3. Zinvolle bezwaarrechten

Het recht om bezwaar te maken staat in de verordening, maar hoe het in de praktijk werkt varieert enorm.

Wat de meeste bedrijven doen: De verwerkersovereenkomst bevat een bezwaarclausule, maar het praktische mechanisme is onduidelijk. Kan de verwerkingsverantwoordelijke werkelijk een subverwerkerwijziging blokkeren? Wat gebeurt er als zij bezwaar maken — draait u terug? Biedt u beëindigingsrechten?

Wat verwerkingsverantwoordelijken verwachten: Een helder proces. Als een verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe subverwerker, wat zijn de opties? Doorgaans betekent dit: de verwerker zal redelijke inspanningen leveren om een alternatief te vinden, en als geen alternatief haalbaar is, kan de verwerkingsverantwoordelijke de betreffende diensten beëindigen zonder boete.

Het belangrijkste is dat dit is vastgelegd voordat iemand het nodig heeft. Functionarissen voor gegevensbescherming van zakelijke klanten controleren dit tijdens inkoop.

4. Datastroomtransparantie

Subverwerker-beheer gaat niet alleen over wie — het gaat over welke gegevens waarheen gaan.

Wat de meeste bedrijven doen: De subverwerkerlijst vermeldt bedrijfsnamen en beschrijft misschien hun functie ("cloudhosting," "e-mailbezorging," "analytics").

Wat verwerkingsverantwoordelijken verwachten: Voldoende detail om de datastroom te begrijpen. Welke categorieën persoonsgegevens benadert elke subverwerker? Is het opgeslagen of tijdelijk? Is het in de EU of internationaal doorgegeven? Zo ja, op basis van welk mechanisme (adequaatheidsbesluit, SCC's, bindende bedrijfsvoorschriften)?

Dit is waar het CLOUD Act-gesprek praktisch wordt in plaats van theoretisch. Als uw subverwerker een Amerikaans bedrijf is, willen verwerkingsverantwoordelijken weten: is er een transfer impact assessment? Welke aanvullende maatregelen zijn er? Simpelweg "AWS" vermelden is niet voldoende als de verwerkingsverantwoordelijke zijn eigen compliance onder Schrems II moet documenteren.

5. Bewijs van due diligence voor subverwerkers

Artikel 28(1) stelt dat verwerkingsverantwoordelijken uitsluitend verwerkers mogen inschakelen die "voldoende garanties bieden voor het toepassen van passende technische en organisatorische maatregelen." Bij uitbreiding moeten uw subverwerkers aan dezelfde norm voldoen.

Wat de meeste bedrijven doen: Subverwerkers beoordelen bij onboarding. Misschien eenmalig SOC 2- of ISO 27001-status controleren.

Wat verwerkingsverantwoordelijken verwachten: Bewijs dat u subverwerkers doorlopend beoordeelt — niet alleen bij onboarding maar gedurende de levensduur. Zijn hun certificeringen verlopen? Hebben zij beveiligingsincidenten gehad? Is hun gegevensverwerking gewijzigd?

Hier ligt de praktische last: doorlopende zichtbaarheid behouden in uw subverwerkersbeheer is werk. De meeste bedrijven doen dit niet systematisch. Degenen die het wel doen, vallen op bij inkoopbeoordelingen.

Waar de meeste bedrijven tekortschieten

Het patroon is consistent: de verwerkersovereenkomst is in orde, de subverwerkerlijst bestaat, maar de operationele infrastructuur ontbreekt.

Updates zijn reactief, niet proactief. Iemand voegt een nieuwe subverwerker toe aan het product en zes weken later werkt het juridische team de lijst bij. Ondertussen hebben verwerkingsverantwoordelijken onjuiste gegevens.

Meldingen zijn handmatig. Er is geen systeem — het is een e-mail van juridisch, verstuurd wanneer iemand eraan denkt. Als u 200 zakelijke klanten hebt, zijn dat 200 individuele meldingen die tijdig moeten worden verstuurd.

Datastroomdocumentatie is oppervlakkig. "Subverwerker X levert analytics" vertelt een functionaris voor gegevensbescherming niet wat deze moet weten. Welke gegevens? Welke jurisdictie? Welk doorgiftemechanisme?

Due diligence is een momentopname. U hebt het SOC 2-rapport van de subverwerker gecontroleerd toen u het contract tekende. Dat was twee jaar geleden. Hun certificering kan verlopen zijn, hun hosting kan gewijzigd zijn, of zij kunnen een datalek hebben gehad waarvan u niet op de hoogte bent.

Bezwaarprocessen zijn theoretisch. De verwerkersovereenkomst zegt dat verwerkingsverantwoordelijken bezwaar kunnen maken, maar er is geen operationele workflow voor het afhandelen van bezwaren. Als een verwerkingsverantwoordelijke bezwaar maakt op dag 25 van een opzegtermijn van 30 dagen, wat gebeurt er dan?

Geen van deze is op zichzelf een juridische overtreding. Maar het zijn operationele hiaten die zakelijke verwerkingsverantwoordelijken steeds vaker identificeren — en die inkoopbeslissingen beïnvloeden.

Hoe een Trust Center dit operationeel maakt

Dit is waar het concept verbinding maakt: een Trust Center maakt van subverwerker-beheer een levend, operationeel systeem in plaats van een juridische documentatie-exercitie. Voor juridische teams die verwerkersovereenkomsten, NDA's en subverwerker-due-diligence afhandelen is deze verschuiving bijzonder significant.

Publieke subverwerkerpagina op uw Trust Center

Uw subverwerkers zijn standaard zichtbaar — naam, doel, gegevenscategorieën, locatie en rechtsbasis voor doorgifte. Geen PDF-download, geen NDA vereist voor basisinformatie. Verwerkingsverantwoordelijken kunnen het altijd controleren en hun register van verwerkingsactiviteiten blijft actueel.

Ingebouwde wijzigingsmeldingen

Wanneer u een subverwerker bijwerkt, informeert het Trust Center getroffen klanten automatisch. Geen handmatige e-maillijst, geen gemiste meldingen. De opzegtermijn start vanaf de melding, wat een duidelijke, auditeerbare tijdlijn creëert.

Datastroomzichtbaarheid

Elke subverwerkervermelding kan verwerkte gegevenscategorieën, hostingregio en doorgiftemechanismen bevatten — gestructureerd op een manier die functionarissen voor gegevensbescherming direct in hun Artikel 30-register kunnen gebruiken. Geen paragraaf juridische tekst; een overzichtelijke, parseerbare tabel.

Doorlopend due-diligence-bewijs

Als uw Trust Center leveranciersborging omvat, kunt u de actuele beveiligingshouding van uw subverwerkers tonen — niet alleen hun status bij onboarding, maar doorlopend. Certificeringen, beveiligingsscores, datum van laatste beoordeling. Dit is het bewijs dat verwerkingsverantwoordelijken willen maar zelden krijgen.

Auditklare documentatie

Wanneer een auditor of functionaris voor gegevensbescherming vraagt naar uw subverwerker-beheer, is het antwoord niet "laat me het spreadsheet zoeken." Het is een link naar uw Trust Center, waar de actuele status altijd zichtbaar, geversioned en getimestampt is.

De praktische checklist

Als u beoordeelt hoe uw subverwerker-beheer zich verhoudt tot wat zakelijke verwerkingsverantwoordelijken werkelijk verwachten, is dit de lijst:

Subverwerkerlijst:

  • Publiek toegankelijk (geen NDA vereist voor basisinformatie)
  • Bevat naam, doel, gegevenscategorieën, hostinglocatie, land van vestiging
  • Bijgewerkt binnen dagen na wijzigingen, niet maanden

Wijzigingsmeldingen:

  • Proactief, schriftelijk, vóór inwerkingtreding van wijzigingen
  • Met voldoende detail voor de verwerkingsverantwoordelijke om de impact te beoordelen
  • Verstuurd met de contractueel overeengekomen opzegtermijn (doorgaans 30 dagen)
  • Auditeerbaar: u kunt bewijzen wanneer de melding is verstuurd

Bezwaarproces:

  • Helder gedefinieerd in de verwerkersovereenkomst
  • Operationeel ondersteund: u weet wat er gebeurt als een verwerkingsverantwoordelijke bezwaar maakt
  • Omvat beëindigingsrechten als geen alternatieve subverwerker beschikbaar is

Datastroomdocumentatie:

  • Gegevenscategorieën per subverwerker
  • Hostinglocatie en jurisdictie
  • Doorgiftemechanisme voor internationale doorgiften
  • Transfer impact assessment waar van toepassing

Doorlopende due diligence:

  • Certificeringen van subverwerkers bijgehouden en actueel
  • Beveiligingshouding gemonitord, niet alleen beoordeeld bij onboarding
  • Proces voor het afhandelen van beveiligingsincidenten bij subverwerkers

Veelgestelde vragen

Moet ik elke subverwerker publiek vermelden?

Nee. Artikel 28 vereist dat verwerkingsverantwoordelijken worden geïnformeerd, niet het publiek. Maar het publiek toegankelijk maken van de lijst wordt steeds meer verwacht door zakelijke inkopers — het vermindert frictie bij inkoop en helpt verwerkingsverantwoordelijken hun eigen compliance-registers bij te houden. U kunt gevoelige details (zoals specifieke beveiligingsmaatregelen) afschermen terwijl u de basislijst publiek houdt.

Wat is de juiste opzegtermijn voor subverwerkerwijzigingen?

Artikel 28 specificeert geen minimum. De meeste verwerkersovereenkomsten stellen 30 dagen. Zakelijke klanten onderhandelen soms 60 of 90 dagen. Welke termijn u ook afspreekt, deze moet operationeel uitvoerbaar zijn — dat wil zeggen dat u een systeem hebt, niet alleen een clausule.

Wat gebeurt er als een verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe subverwerker?

Dit hangt af van uw verwerkersovereenkomst. Typische benaderingen: de verwerker levert redelijke inspanningen om een alternatief te vinden, en als er geen haalbaar is, kan de verwerkingsverantwoordelijke de betreffende diensten beëindigen. Het belangrijkste is dat dit is vastgelegd voordat het nodig is.

Moet de subverwerkerlijst gegevenscategorieën bevatten?

Artikel 28 vereist niet expliciet gegevenscategorieën in de subverwerkerlijst, maar Artikel 30 vereist dat verwerkingsverantwoordelijken categorieën documenteren in hun register van verwerkingsactiviteiten. Als uw lijst categorieën bevat, maakt u hun compliance gemakkelijker — wat uw inkoopbeoordeling soepeler maakt.

Hoe verhoudt dit zich tot NIS2?

NIS2 Artikel 21(2)(d) vereist beveiligingsmaatregelen voor de toeleveringsketen, inclusief "beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners." Subverwerker-transparantie onder de AVG en beveiliging van de toeleveringsketen onder NIS2 zijn convergerende vereisten — beide vereisen doorlopende zichtbaarheid van uw externe afhankelijkheden. Een Trust Center dat subverwerker-beheer afhandelt, adresseert ook een significant deel van de NIS2-verplichtingen voor de toeleveringsketen.

Belangrijkste conclusies

  1. Artikel 28 stelt de vloer, niet het plafond — zakelijke verwerkingsverantwoordelijken verwachten aanzienlijk meer dan minimale compliance
  2. Statische subverwerkerlijsten creëren operationele hiaten — updates, meldingen en due diligence moeten systematisch zijn, niet ad hoc
  3. Proactieve wijzigingsmeldingen zijn een basisvereiste — verwerkingsverantwoordelijken zouden subverwerkerwijzigingen niet moeten ontdekken tijdens hun jaarlijkse review
  4. Datastroomtransparantie is belangrijker dan een bedrijfsnaam — functionarissen voor gegevensbescherming hebben categorieën, jurisdicties en doorgiftemechanismen nodig
  5. Een Trust Center maakt van subverwerker-beheer een levend systeem — publiek, actueel, auditeerbaar en bruikbaar voor de compliance van uw klanten

Bekijk hoe Orbiq dit afhandelt

Het Trust Center van Orbiq bevat een gestructureerde subverwerkerpagina — standaard publiek, met wijzigingsmeldingen, datastroomdetail en auditklare documentatie. Geen PDF, geen NDA voor basisinformatie.

-> Bekijk ons Trust Center (zie onze eigen subverwerkerlijst in actie)

-> Bekijk prijzen

-> Gratis starten

Bronnen

  1. Verordening (EU) 2016/679 (AVG) – Artikel 28 (Verwerker) – Officiële tekst van Artikel 28, inclusief vereisten voor subverwerker-autorisatie.
  2. EDPB-richtsnoeren 07/2020 betreffende de begrippen verwerkingsverantwoordelijke en verwerker in de AVG – Versie 2.1, juli 2021. Gedetailleerde richtlijnen over relaties tussen verwerkingsverantwoordelijken en verwerkers, inclusief het inschakelen van subverwerkers.
  3. AVG Artikel 30 – Register van verwerkingsactiviteiten – Vereisten voor verwerkingsverantwoordelijken en verwerkers om verwerkingsregisters bij te houden, inclusief subverwerkerdetails.
  4. HvJ-EU – Schrems II (Zaak C-311/18) – Uitspraak over internationale gegevensdoorgiften, relevant voor beoordelingen van subverwerker-doorgiften.
  5. EDPB-aanbevelingen 01/2020 over aanvullende maatregelen – Richtlijnen over transfer impact assessments en aanvullende maatregelen voor internationale subverwerker-doorgiften.

Gerelateerde artikelen

Subverwerker-beheer onder AVG Artikel 28: Wat...