Compliance

AVG voor SaaS-bedrijven: verwerker én verantwoordelijke

AVG voor SaaS-bedrijven: beheer de dubbele rol van verwerker en verantwoordelijke, schaal verwerkersovereenkomsten en regel internationale doorgifte veilig.

Een SaaS-bedrijf heeft vrijwel altijd een dubbele AVG-rol: verwerker voor de klantdata die door het platform stroomt, en verwerkingsverantwoordelijke voor de eigen marketing, analytics en HR. Die dubbelrol is geen theoretisch detail — ze bepaalt welke contracten u sluit, welke registers u bijhoudt en wie aansprakelijk is als het misgaat. Voor klantdata handelt u op instructie en sluit u een verwerkersovereenkomst; voor uw eigen leadgeneratie en analytics bepaalt u zelf doel en middelen en gelden alle verantwoordelijke-verplichtingen. Hieronder leest u hoe u die twee petten uit elkaar houdt, verwerkersovereenkomsten op schaal beheert en internationale doorgifte bij US-hosting rechtmatig regelt.

Key Takeaways

  • SaaS-bedrijven zijn verwerker voor klantdata én verwerkingsverantwoordelijke voor eigen marketing, analytics en personeel — beide rollen hebben eigen verplichtingen.
  • Bied een standaard-verwerkersovereenkomst (art. 28 AVG) aan zodat u niet per klant hoeft te onderhandelen.
  • Houd een actuele subverwerkerslijst bij en informeer klanten voordat u een subverwerker toevoegt.
  • Bij hosting of subverwerkers buiten de EER regelt u een geldig doorgiftemechanisme — de Uber-boete van €290 miljoen (2024) toont het risico.
  • Privacy by design is bij enterprise-deals geen kostenpost maar een verkoopargument.

De dubbele rol ontrafeld

De rolbepaling volgt de vraag wie doel en middelen bepaalt. Bij een SaaS-product levert de klant persoonsgegevens aan (van zijn eigen klanten of medewerkers) en bepaalt hij waarvoor. U verwerkt die gegevens namens hem: u bent verwerker. Voor uw eigen bedrijfsvoering — nieuwsbrieven, leadscoring, productanalytics, sollicitanten en personeel — bepaalt u zelf de doelen en bent u verwerkingsverantwoordelijke.

Gegevensstroom Uw rol Kerninstrument
Data die klanten in het platform invoeren Verwerker Verwerkersovereenkomst
Accountgegevens contactpersonen klant Verantwoordelijke Grondslag + register
Marketing- en leaddata Verantwoordelijke Grondslag + toestemming/gerechtvaardigd belang
Productanalytics en logging Verantwoordelijke Grondslag + informatieplicht
Sollicitanten en personeel Verantwoordelijke Register + bewaartermijnen

Als verantwoordelijke houdt u een verwerkingsregister bij en onderbouwt u de grondslag per verwerking. Twijfelt u over de rol bij een specifieke gegevensstroom, lees dan de gids over verwerkingsverantwoordelijke versus verwerker.

Verwerkersovereenkomsten op schaal

Een SaaS-bedrijf met honderden klanten kan niet met elke klant afzonderlijk onderhandelen. De oplossing is een standaard-verwerkersovereenkomst die u als vast onderdeel bij het abonnement aanbiedt, met alle verplichte elementen van artikel 28 lid 3 AVG: onderwerp, duur, aard en doel van de verwerking, categorieën betrokkenen, instructies, geheimhouding, beveiliging, subverwerkers, bijstand bij rechten en meldingen, en teruggave of verwijdering na afloop.

Bied de standaard-DPA online aan en houd hem versiebeheerd. Grote enterprise-klanten willen soms afwijken; reserveer daarvoor een korte lijst met acceptabele varianten in plaats van elke keer opnieuw te beginnen. Dit bespaart de salescyclus weken.

Subverwerkers beheren

U gebruikt zelf leveranciers — cloudhosting, e-mailverzending, betaalproviders, supporttooling. Dat zijn subverwerkers. Artikel 28 lid 2 AVG verlangt dat u alleen subverwerkers inschakelt met toestemming van de verwerkingsverantwoordelijke (de klant), en dat u dezelfde verplichtingen doorlegt.

In de praktijk werkt u met een gepubliceerde subverwerkerslijst en een algemene toestemming met kennisgevingsplicht: voordat u een nieuwe subverwerker toevoegt of vervangt, informeert u klanten en geeft u hen de mogelijkheid bezwaar te maken. Houd de lijst actueel — een verouderde subverwerkerslijst is een veelvoorkomend gebrek bij audits.

Internationale doorgifte bij US-hosting

Veel SaaS-stacks draaien op Amerikaanse infrastructuur of gebruiken Amerikaanse subverwerkers. Doorgifte naar buiten de EER mag alleen met een geldig mechanisme uit hoofdstuk V AVG: een adequaatheidsbesluit (zoals het EU-US Data Privacy Framework voor gecertificeerde Amerikaanse partijen), standaardcontractbepalingen (SCC’s) met een transfer impact assessment, of een andere waarborg.

De risico’s zijn reëel. De AP legde Uber in 2024 een boete van €290 miljoen op wegens het doorgeven van gegevens van Europese chauffeurs naar de VS zonder passend doorgiftemechanisme. Voor een SaaS-bedrijf betekent dit: breng in kaart waar data fysiek staat, documenteer per subverwerker het doorgiftemechanisme en bied EU-hosting aan waar klanten daarom vragen. Data-soevereiniteit is voor Europese kopers na Schrems II een hard selectiecriterium.

Privacy by design als verkoopargument

Artikel 25 AVG verplicht gegevensbescherming door ontwerp en standaardinstellingen. Voor SaaS is dat meer dan een verplichting: enterprise-inkopers en hun security-teams toetsen uw product tegen precies deze eisen tijdens een vendor assessment. Ingebouwde encryptie, granulaire toegangsrechten, dataminimalisatie in de default-instellingen en een verwijderfunctie die daadwerkelijk verwijdert, versnellen de deal.

Bouw de bescherming waar mogelijk in als standaardinstelling: gegevens die niet nodig zijn, verzamelt u niet; velden die optioneel zijn, staan standaard uit; en gebruikers krijgen alleen toegang tot wat hun rol vereist. Dit is niet alleen juridisch verstandig, maar verlaagt ook uw eigen risico-oppervlak. Documenteer uw privacy-maatregelen in een security- en privacy-whitepaper dat sales kan meesturen. Het onderhouden van registers, subverwerkerslijsten en beveiligingsdocumentatie op schaal is arbeidsintensief; platforms zoals Legiscope helpen SaaS-bedrijven die compliance-administratie centraal en actueel te houden.

Datalekken: wie meldt wat?

Bij een beveiligingsincident wordt de dubbelrol opnieuw beslissend. Voor data waarvoor u verwerker bent, meldt niet u maar de verantwoordelijke klant het datalek bij de toezichthouder. Uw plicht is de klant zonder onnodige vertraging te informeren en te ondersteunen — leg de meldtermijn en het contactpunt vast in de verwerkersovereenkomst. Voor data waarvoor u verantwoordelijke bent (marketing, personeel, accountgegevens), meldt u zelf binnen 72 uur bij de Autoriteit Persoonsgegevens als er risico is voor betrokkenen.

Eén incident kan dus twee meldstromen tegelijk activeren: uw eigen melding als verantwoordelijke én meldingen aan tientallen klanten die op hún beurt beoordelen of zij naar hun toezichthouder gaan. Een SaaS-bedrijf zonder helder incidentproces raakt hier snel in de knel. Richt daarom een vaste escalatieprocedure in met rollen, termijnen en standaardteksten voor klantnotificaties.

Documentatie die enterprise-inkoop verwacht

Grote klanten toetsen u tijdens een vendor- of security-assessment. Zorg dat de volgende documenten klaarliggen: een actuele subverwerkerslijst, de standaard-verwerkersovereenkomst, een beschrijving van de technische en organisatorische maatregelen (artikel 32 AVG), het doorgiftemechanisme per subverwerker, en een privacy- en beveiligingswhitepaper. Hoe sneller sales deze set kan overleggen, hoe korter de inkoopcyclus.

Verzamel deze documentatie op één plek en houd versiebeheer bij. Een verouderde subverwerkerslijst of een DPA die niet meer klopt met de praktijk is niet alleen een compliancerisico, maar ook een dealbreker in enterprise-onderhandelingen. Behandel privacydocumentatie daarom als een levend onderdeel van het product, niet als een eenmalige exercitie. Wijs intern één eigenaar aan die de subverwerkerslijst, de standaard-verwerkersovereenkomst en de beveiligingsbeschrijving actueel houdt en die de vragen uit vendor-assessments centraal beantwoordt. Dat voorkomt dat sales, engineering en legal elk een eigen, tegenstrijdige versie hanteren en dat een grote deal strandt op een detail dat allang was opgelost.

FAQ

Ben ik als SaaS-bedrijf verwerker of verwerkingsverantwoordelijke?

Beide, maar voor verschillende gegevensstromen. Voor de data die klanten in uw platform invoeren bent u verwerker en handelt u op hun instructie. Voor uw eigen marketing, analytics, logging en personeel bepaalt u zelf de doelen en bent u verwerkingsverantwoordelijke. Houd de twee rollen administratief gescheiden.

Moet ik met elke klant apart een verwerkersovereenkomst sluiten?

Nee. Werk met een standaard-verwerkersovereenkomst die alle elementen van artikel 28 lid 3 AVG bevat en die u als vast onderdeel bij het abonnement aanbiedt. Reserveer een korte lijst met acceptabele varianten voor enterprise-klanten die willen afwijken.

Mag ik klantdata op Amerikaanse servers hosten?

Ja, mits u een geldig doorgiftemechanisme heeft: het EU-US Data Privacy Framework voor gecertificeerde partijen, of standaardcontractbepalingen met een transfer impact assessment. Documenteer per subverwerker waar data staat. De Uber-boete van €290 miljoen laat zien wat er misgaat zonder passend mechanisme.

Hoe informeer ik klanten over nieuwe subverwerkers?

Publiceer een actuele subverwerkerslijst en werk met een kennisgevingsplicht: voordat u een subverwerker toevoegt of vervangt, informeert u klanten en geeft u hen gelegenheid bezwaar te maken. Leg deze afspraak vast in de verwerkersovereenkomst.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →