AVG-wijzigingsmeldingen voor subverwerkers: het meldingsproces van artikel 28

AVG-wijzigingsmeldingen voor subverwerkers: het meldingsproces van artikel 28

Een wijzigingsmelding voor een subverwerker is de voorafgaande kennisgeving die een verwerker moet versturen voordat hij onder algemene schriftelijke toestemming een subverwerker toevoegt of vervangt. AVG-artikel 28, lid 2, vereist dat de verwerkingsverantwoordelijke wordt geïnformeerd over voorgenomen wijzigingen en een reële mogelijkheid krijgt om bezwaar te maken voordat de nieuwe subverwerker met de verwerking begint. De verordening stelt geen vaste meldtermijn vast — dat is een contractuele aangelegenheid — maar EDPB-advies 22/2024 (aangenomen op 7 oktober 2024) heeft aangescherpt hoe een zinvolle melding er nu uitziet: voldoende detail en voldoende tijd voor een geïnformeerd bezwaar, ondersteund door een subverwerkerslijst die te allen tijde actueel wordt gehouden. Deze gids behandelt het proces zelf — wat de melding moet bevatten, hoe lang de termijn moet zijn, hoe u met bezwaren omgaat en wie u moet informeren.

Wijzigingsmeldingen voor subverwerkers in één oogopslag

Vraag	Kort antwoord
Wanneer is een melding vereist?	Voordat u onder algemene schriftelijke toestemming een subverwerker toevoegt of vervangt (art. 28, lid 2).
Wettelijke meldtermijn?	Geen. De termijn (in Europa doorgaans ~15 dagen) staat in de verwerkersovereenkomst, niet in de AVG.
Wat moet ze bevatten?	Identiteit + contact, beschrijving van de verwerking, locatie/doorgiftemechanisme, beveiligingsgaranties.
Kan stilzwijgen gelijkstaan aan toestemming?	Alleen onder algemene toestemming, en alleen bij een echte, geïnformeerde, tijdige kennisgeving. Nooit onder specifieke toestemming.
Wie ontvangt ze?	Elke verwerkingsverantwoordelijke wiens gegevens de subverwerker aanraakt — proactief, niet op verzoek.
Waar staat ze?	Een actueel subverwerkersregister + een actief waarschuwingskanaal (e-mailabonnement / Trust Center).

Belangrijkste punten

1. Artikel 28 bepaalt de aanleiding, de verwerkersovereenkomst bepaalt de klok. De plicht om te informeren en bezwaar toe te staan is wettelijk; het aantal dagen is contractueel — maak het operationeel afdwingbaar, niet enkel een clausule.
2. Een wijzigingsmelding is een document met verplichte velden, geen e-mail van één regel. Na EDPB-advies 22/2024 volstaat "wij hebben leverancier X toegevoegd" niet voor niet-triviale verwerking.
3. Het bezwaartraject moet bestaan voordat iemand bezwaar maakt. Bepaal vooraf wat er gebeurt — een werkbare oplossing of beëindiging van de betrokken diensten.
4. Informeren is push, geen pull. Verwerkingsverantwoordelijken moeten tijdig worden geïnformeerd om bezwaar te maken; verwachten dat ze een webpagina in de gaten houden, voldoet niet aan de verplichting.
5. Dit is een proces, geen pagina. Register, melding, abonneewaarschuwing, bezwaarafhandeling en audittrail vormen één samenhangend systeem — precies wat een Trust Center operationeel maakt.

Wat AVG-artikel 28 daadwerkelijk vereist

Wijzigingsmeldingen voor subverwerkers bestaan vanwege één zin in artikel 28, lid 2, van de AVG:

"In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waardoor de verwerkingsverantwoordelijke de mogelijkheid heeft om tegen dergelijke veranderingen bezwaar te maken."

Daaruit volgen drie verplichtingen, en een vierde uit de omringende tekst:

• Informeren over beoogde veranderingen. De melding moet worden gegeven voor beoogde — dat wil zeggen voorafgaande — toevoegingen of vervangingen, en wel schriftelijk (artikel 28, lid 9, vereist dat de regeling op grond van artikel 28, inclusief de elektronische vorm, schriftelijk wordt vastgelegd).
• Een reële mogelijkheid tot bezwaar bieden. Het recht van bezwaar mag niet theoretisch zijn. De verwerkingsverantwoordelijke moet voldoende informatie en voldoende tijd hebben om de nieuwe subverwerker te beoordelen en een besluit te nemen.
• Gelijkwaardige verplichtingen opleggen in de keten (artikel 28, lid 3, onder d), en artikel 28, lid 4). Wanneer een subverwerker wordt ingeschakeld, moet de verwerker dezelfde verplichtingen inzake gegevensbescherming aan hem doorgeven en blijft hij jegens de verwerkingsverantwoordelijke aansprakelijk voor de naleving door die subverwerker.

Wat artikel 28 bewust niet doet, is een getal vaststellen. Er bestaat geen wettelijke "30 dagen". De verordening vereist voorafgaande informatie en een mogelijkheid tot bezwaar; de concrete termijn staat in uw verwerkersovereenkomst. Dit wordt bevestigd door de richtsnoeren van de Britse ICO, die verwerkers opdraagt "de datum waarop de verwerkingsverantwoordelijke eventuele bezwaren kenbaar moet maken" vast te leggen — de noodzaak om een datum te vermelden bestaat juist omdat de AVG er geen vaststelt.

Voor het volledige beeld van hoe subverwerkerslijsten, due diligence en de contractbepalingen van artikel 28 in elkaar passen, raadpleegt u onze begeleidende gids over subverwerkerbeheer onder AVG-artikel 28. Deze pagina gaat dieper in op het ene onderdeel dat de meeste teams slecht aanpakken: de wijzigingsmelding zelf.

Specifieke versus algemene toestemming — en waarom dit de melding verandert

Artikel 28, lid 2, biedt twee routes, en die leiden tot verschillende werkwijzen:

• Specifieke toestemming. De verwerkingsverantwoordelijke keurt elke subverwerker afzonderlijk goed voordat deze wordt ingeschakeld. Er is geen "informeren en bezwaar maken" — er is "verzoeken en goedkeuren". Cruciaal is dat EDPB-advies 22/2024 stelt dat onder specifieke toestemming stilzwijgen moet worden opgevat als geen toestemming: reageert de verwerkingsverantwoordelijke niet binnen het gevraagde tijdsbestek, dan mag de verwerker niet doorgaan.
• Algemene toestemming. De verwerkingsverantwoordelijke geeft een algemene goedkeuring, op voorwaarde dat hij over wijzigingen wordt geïnformeerd en het recht van bezwaar behoudt. Dit is wat de meeste B2B-SaaS-bedrijven gebruiken, en het is wat een terugkerend wijzigingsmeldingsproces genereert.

De twee zijn niet uitwisselbaar. Een verwerkersovereenkomst op basis van algemene toestemming mag bepalen dat een verwerkingsverantwoordelijke die niet binnen de termijn bezwaar maakt, wordt geacht de wijziging te aanvaarden — maar, volgens EDPB-advies 22/2024, alleen wanneer die verwerkingsverantwoordelijke een echte, geïnformeerde kennisgeving kreeg met voldoende tijd om te handelen. Geachte aanvaarding gebouwd op een melding die niemand realistisch kon beoordelen, is precies het soort "theoretisch" recht van bezwaar dat de verordening uitsluit.

Wat een wijzigingsmelding voor een subverwerker moet bevatten

Vóór oktober 2024 bestonden veel meldingen uit één regel: een bedrijfsnaam en een dienstcategorie. EDPB-advies 22/2024 heeft die ondergrens verhoogd. Het advies vereist dat verwerkers een actuele lijst van alle subverwerkers bijhouden en verwerkingsverantwoordelijken proactief voorzien van de informatie die zij nodig hebben om hun eigen verplichtingen uit artikel 28 na te komen. Voor elke (sub)verwerker betekent dat:

Veld	Waarom het vereist is
Naam en adres	Basisidentificatie van de entiteit die de gegevens verwerkt.
Contactpersoon (naam, functie, gegevens)	Zodat de verwerkingsverantwoordelijke due-diligencevragen kan richten.
Beschrijving van de verwerking	Wat de subverwerker doet, en een duidelijke verdeling van verantwoordelijkheden wanneer meerdere verwerkers betrokken zijn.
Locatie van de verwerking + doorgiftemechanisme	Of gegevens de EER verlaten en op welke grondslag (SCC's, adequaatheid) — essentieel na Schrems II.
Beveiligingsgaranties	Certificeringen (ISO 27001, SOC 2) of een samenvatting van technische en organisatorische maatregelen, zodat de verwerkingsverantwoordelijke de "afdoende garanties" uit artikel 28, lid 1, kan beoordelen.

De diepgang is risicogebaseerd. Voor verwerking met een laag risico mag een verwerkingsverantwoordelijke redelijkerwijs vertrouwen op beknopte informatie; voor verwerking met een hoger risico verwacht de EDPB meer — wat betekent dat uw melding voor een nieuwe analytics-pixel en uw melding voor een nieuwe subverwerker die bijzondere categorieën persoonsgegevens verwerkt er niet identiek mogen uitzien. Een regel met enkel een naam is voor iets niet-triviaals niet langer verdedigbaar.

Hoe lang moet de meldtermijn zijn?

De AVG zegt het niet, dus de praktijk vult de leemte. De benchmarks die het vaakst in verwerkersovereenkomsten voorkomen:

• ~15 dagen — het typische Europese meldtermijn en de praktische standaard in de meeste EU-verwerkersovereenkomsten. Lang genoeg om een wijziging te beoordelen, kort genoeg om het onboarden van subverwerkers niet te vertragen.
• 30–60 dagen — het gebruikelijke bedongen bereik, gevraagd door grote ondernemingen en gereguleerde verwerkingsverantwoordelijken die tijd nodig hebben voor interne beoordelingen of doorgifte-effectbeoordelingen (transfer impact assessments).
• 90 dagen — steeds zeldzamer. In het tijdperk van AI-versnelde leveranciersbeoordeling hebben verwerkingsverantwoordelijken zelden drie maanden nodig om één subverwerkerwijziging te beoordelen, en verwerkers verzetten zich tegen het zo lang blokkeren van onboarding.

Wat u ook kiest, EDPB-advies 22/2024 herformuleert de toets: de termijn moet lang genoeg zijn voor een zinvol, geïnformeerd bezwaar, niet enkel lang genoeg om aan een clausule te voldoen. Een termijn van slechts enkele dagen voor een wijziging van een subverwerker met een hoog risico, bezorgd tijdens een vakantieperiode, is het soort regeling die een toezichthoudende autoriteit ontoereikend zou kunnen achten, ook al staat het getal in het contract.

Het bezwaarproces: wat gebeurt er wanneer een verwerkingsverantwoordelijke nee zegt

Een recht van bezwaar is alleen reëel als er een gedefinieerd gevolg is. Uw verwerkersovereenkomst moet het traject uitwerken voordat iemand het gebruikt. Het standaardmodel:

1. De verwerkingsverantwoordelijke maakt schriftelijk bezwaar binnen de meldtermijn, idealiter met een vermelde reden.
2. De verwerker levert redelijke inspanningen om tegemoet te komen — bijvoorbeeld door de gegevens van die verwerkingsverantwoordelijke niet via de nieuwe subverwerker te leiden, of door een alternatieve configuratie aan te bieden.
3. Als er geen werkbare oplossing mogelijk is, mag de verwerkingsverantwoordelijke de betrokken diensten beëindigen zonder boete, doorgaans met een vastgelegde afbouwperiode.

Het doel is om dubbelzinnigheid weg te nemen. Een bezwaar moet een bekend proces in gang zetten, geen onderhandeling die elke keer opnieuw vanaf nul begint. Documenteer elk bezwaar en de afhandeling ervan — het maakt deel uit van de audittrail die zowel uw functionaris voor gegevensbescherming (FG) als die van uw klanten zullen willen zien.

Wie u moet informeren — en waarom "push" beter is dan "pull"

Een wijzigingsmelding telt alleen als ze de getroffen verwerkingsverantwoordelijken tijdig bereikt. Twee faalwijzen komen vaak voor:

• De begraven e-mail. Een melding die wordt verzonden naar een algemene inkoopinbox die niemand in de gaten houdt, biedt geen "reële mogelijkheid om bezwaar te maken".
• De stille webpagina. Veel verwerkers publiceren een openbare subverwerkerslijst en beschouwen het bijwerken ervan als kennisgeving. EDPB-advies 22/2024 is expliciet dat een webpagina alleen aanvaardbaar is als die te allen tijde actueel wordt gehouden, de vereiste details bevat en wordt gekoppeld aan een actieve waarschuwing — een e-mailabonnement of gelijkwaardig — zodat verwerkingsverantwoordelijken daadwerkelijk worden geïnformeerd in plaats van te worden geacht de pagina zelf te bewaken.

Het werkbare patroon is een abonneemodel: verwerkingsverantwoordelijken (en hun FG's) schrijven zich in voor meldingen over uw subverwerkerslijst, en elke toevoeging of vervanging activeert een gestructureerde waarschuwing met de vereiste velden en een duidelijke bezwaartermijn. Dat is precies het soort terugkerende, beheerde communicatie dat het trust-updateproces van een Trust Center is ontworpen om uit te voeren — en het dient meteen als bewijs dat u hebt geïnformeerd, wanneer en met welke inhoud.

Wat EDPB-advies 22/2024 heeft veranderd

EDPB-advies 22/2024, aangenomen op 7 oktober 2024, is de belangrijkste recente ontwikkeling voor dit proces. Het herschrijft artikel 28 niet, maar scherpt de verwachtingen eromheen aan:

• Zichtbaarheid over de hele keten. Verwerkingsverantwoordelijken moeten elke verwerker en subverwerker in de keten kunnen identificeren — niet alleen de eerste schakel — en kunnen verifiëren dat elk afdoende garanties biedt, waarbij de diepgang van de verificatie wordt afgestemd op het risico.
• Proactieve, steeds actuele lijsten. Verwerkers moeten "deze informatie over alle ingeschakelde subverwerkers te allen tijde actueel houden" en die verstrekken zonder daarom te hoeven worden gevraagd.
• Geen minimalistische meldingen. Voor verwerking met een hoger risico stelt een melding die de locatie, het doorgiftemechanisme of de beveiligingsinformatie weglaat, de verwerkingsverantwoordelijke niet in staat het geïnformeerde besluit te nemen dat het advies vereist.
• Stilzwijgen ≠ toestemming onder specifieke toestemming. Geachte aanvaarding blijft beperkt tot echte scenario's van algemene toestemming met een toereikende kennisgeving.

Het netto-effect: het gangbare model van "subverwerkerpagina plus een e-mailtermijn van 30 dagen" werkt nog steeds, maar alleen als het wordt verrijkt en geïntegreerd. Namen op een pagina zijn passé; gestructureerde, actuele records met pushmelding zijn de norm.

De positie van het VK en Noorwegen/EER

De meldplicht bij wijzigingen is geen eigenaardigheid van de EU-27 — ze reist mee door het Europese compliancelandschap:

• Verenigd Koninkrijk. Onder de UK GDPR (na de Brexit behouden en onder toezicht van de ICO) geldt artikel 28 in dezelfde vorm: geen subverwerker zonder voorafgaande specifieke of algemene schriftelijke toestemming, voorafgaande melding van voorgenomen wijzigingen onder algemene toestemming, een contract met gelijkwaardige bescherming in de keten en doorlopende aansprakelijkheid van de verwerker. De ICO-richtsnoeren over contracten en aansprakelijkheden weerspiegelen de EU-positie, inclusief de instructie om een bezwaartermijn schriftelijk te vermelden.
• Noorwegen en de EER. Noorwegen past de AVG toe via de personopplysningsloven, onder toezicht van Datatilsynet, op grond van de EER-overeenkomst. Het toestemmings- en bezwaarmechanisme van artikel 28 geldt op identieke wijze; er is geen aparte nationale regel die de meldplicht bij wijzigingen verzacht. EER-verwerkingsverantwoordelijken die aan de EU verkopen, verwachten dezelfde meldkwaliteit als hun EU-tegenhangers.

Voor een verwerkingsverantwoordelijke die in de EU, de EER en het VK actief is, luidt de praktische conclusie: één proces, niet drie. Eén wijzigingsmeldingsproces dat aan de strengste lezing voldoet, dekt ze alle drie.

De verplichting omzetten in een proces

De reden dat wijzigingsmeldingen voor subverwerkers misgaan, is zelden een ontbrekende clausule — het is het ontbreken van een systeem om de clausule uit te voeren. Het register raakt verouderd, een wijziging gaat live voordat de melding eruit is, de bezwaartermijn wordt inconsistent gehandhaafd, en er is geen vastlegging van wie wat te horen kreeg.

Een Trust Center dicht die kloof door de hele opeenvolging tot één samenhangend proces te maken: een openbare, steeds actuele subverwerkerslijst; een abonneebestand van verwerkingsverantwoordelijken en FG's; gestructureerde wijzigingsmeldingen met de door de EDPB verwachte velden; een gehandhaafde bezwaartermijn; en een onveranderlijke audittrail van elke melding en elk bezwaar. Vooral voor juridische teams haalt dit het beheer van subverwerkers van de handmatige takenlijst af — zie Trust Center voor juridische teams voor hoe dezelfde laag verwerkersovereenkomsten en NDA-gating afhandelt. En omdat NIS2 en DORA dezelfde kant op duwen (NIS2-artikel 21, lid 2, onder d), over beveiliging van de toeleveringsketen, en de ICT-onderaannemingsregels van DORA in de artikelen 28–30), doet het proces dat u voor AVG-meldingen opbouwt dubbel werk binnen uw EU-verplichtingen.

Het Trust Center-platform van Orbiq verstuurt wijzigingsmeldingen voor subverwerkers naar geabonneerde verwerkingsverantwoordelijken, handhaaft de bezwaartermijn en houdt de audittrail automatisch bij — zie het Trust Center-platform om het in actie te zien.

Veelgestelde vragen

Wat is een AVG-wijzigingsmelding voor een subverwerker?

Het is de voorafgaande kennisgeving die een verwerker aan een verwerkingsverantwoordelijke stuurt voordat hij onder algemene schriftelijke toestemming een subverwerker toevoegt of vervangt (artikel 28, lid 2). De melding moet de nieuwe subverwerker identificeren, de verwerking en een eventuele doorgifte naar een derde land beschrijven en de verwerkingsverantwoordelijke een reële mogelijkheid bieden om bezwaar te maken voordat de wijziging ingaat.

Welke meldtermijn vereist de AVG?

De AVG stelt geen vaste termijn vast. Ze vereist enkel dat de verwerkingsverantwoordelijke tijdig wordt geïnformeerd over voorgenomen wijzigingen om bezwaar te kunnen maken voordat de verwerking begint. In Europa is de gebruikelijke termijn ongeveer 15 dagen, met 30 tot 60 dagen als het gangbare bedongen bereik en 90 dagen steeds zeldzamer — alles afkomstig uit de verwerkersovereenkomst. EDPB-advies 22/2024 voegt daaraan toe dat de termijn lang genoeg moet zijn voor een zinvol, geïnformeerd bezwaar.

Mag stilzwijgen worden gelijkgesteld met toestemming?

Onder algemene toestemming mag een verwerkersovereenkomst een niet-bezwaar makende verwerkingsverantwoordelijke geacht worden een wijziging te hebben aanvaard — maar alleen wanneer de verwerkingsverantwoordelijke een echte, geïnformeerde kennisgeving kreeg en voldoende tijd om bezwaar te maken. Waar specifieke toestemming vereist is, mag stilzwijgen nooit als toestemming worden opgevat.

Wat moet een melding in 2026 bevatten?

Na EDPB-advies 22/2024: de naam, het adres en de contactpersoon van de subverwerker; een beschrijving van de verwerking en de verdeling van verantwoordelijkheden; de verwerkingslocatie en een eventueel doorgiftemechanisme; en voldoende beveiligingsdetail (certificeringen of maatregelen) zodat de verwerkingsverantwoordelijke de "afdoende garanties" uit artikel 28, lid 1, kan beoordelen.

Wat gebeurt er als een verwerkingsverantwoordelijke bezwaar maakt?

Dat hangt af van de verwerkersovereenkomst. Het standaardtraject is dat de verwerker redelijke inspanningen levert om aan het bezwaar tegemoet te komen, en als geen enkele oplossing werkbaar is, mag de verwerkingsverantwoordelijke de betrokken diensten zonder boete beëindigen. Leg dit vast voordat er ooit een bezwaar ontstaat.

Voldoet een openbare subverwerkerpagina aan de verplichting?

Niet op zichzelf. Een webpagina werkt alleen als mechanisme wanneer die te allen tijde actueel wordt gehouden, de vereiste details bevat en wordt gekoppeld aan een actieve waarschuwing, zodat verwerkingsverantwoordelijken daadwerkelijk tijdig worden geïnformeerd om bezwaar te maken.

Bronnen en verwijzingen

1. Verordening (EU) 2016/679 (AVG) — artikel 28 — verplichtingen van de verwerker, toestemming voor subverwerkers (28, lid 2), contractbepalingen (28, lid 3), doorgifte in de keten en aansprakelijkheid (28, lid 4).
2. EDPB-advies 22/2024 over bepaalde verplichtingen die voortvloeien uit het inschakelen van verwerkers en subverwerkers — aangenomen op 7 oktober 2024; verificatie over de hele keten en actuele subverwerkersinformatie.
3. EDPB-richtsnoeren 07/2020 over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG — versie 2.1; relaties tussen verwerkingsverantwoordelijke, verwerker en subverwerker.
4. ICO — Contracten en aansprakelijkheden tussen verwerkingsverantwoordelijken en verwerkers (wat in het contract moet staan) — UK GDPR-positie over toestemming voor en bezwaar tegen subverwerkers.
5. Uitvoeringsbesluit (EU) 2021/915 van de Commissie — modelcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers — SCC's op grond van artikel 28, lid 7, voor het inschakelen van subverwerkers.
6. Datatilsynet (Noorwegen) — gegevensbeschermingsautoriteit — toezicht op de AVG via de personopplysningsloven en de EER-overeenkomst.

Verder lezen

• Subverwerkerbeheer onder AVG-artikel 28: wat verwerkingsverantwoordelijken werkelijk verwachten
• AVG-artikelen 28, 32, 33 en 34: waarom een ISMS niet volstaat
• Trust Center voor juridische teams
• Wat is een Trust Center?
• NIS2-beveiliging van de toeleveringsketen: vereisten, hiaten en hoe te voldoen
• DORA-compliance: risicobeheer van ICT-derden
• Trust Center-platform — wijzigingsmeldingen voor subverwerkers automatisch beheren