GDPR-onderaannemer: Waarom het evalueren van uw dienstverleners een cruciale kwestie is geworden voor uw bedrijf

Het uitbesteden van de verwerking van gegevens aan een dienstverlener ontslaat een bedrijf nooit van zijn verantwoordelijkheden. Sinds 2021, CNIL heeft de sancties verscherpt tegen organisaties die hun systemen niet naar behoren hadden beoordeeld of gereguleerd. GDPR-onderaannemer €1 miljoen tegen Mobius Solutions in december 2025, €1,5 miljoen tegen Dedalus Biologie, €600.000 tegen Canal+ Group, €800.000 tegen Discord. De boodschap is duidelijk: besteed de verwerking van uw gegevens uit. persoonlijke gegevens is geen delegeren van naleving.

Voor managers is de focus verschoven van juridische zaken naar risicomanagement. Het evalueren van dienstverleners en het formaliseren van processen zijn hierbij van belang. de GDPR-onderaannemingsovereenkomstHet bewaken van de keten over tijd: dit zijn wettelijke verplichtingen waarvan de niet-naleving kostbaar is.

Inzicht in de rol van de GDPR-onderaannemer en diens verplichtingen.

Wie wordt er verstaan onder een onderaannemer in de zin van de AVG?

De AVG definieert een gegevensverwerker als elke natuurlijke of rechtspersoon die gegevens verwerkt. persoonlijke gegevens namens gegevensbeheerderZodra een serviceprovider toegang krijgt tot, gegevens host, analyseert of opslaat, treedt er een probleem op. persoonlijke gegevens De diensten die u aan hem toevertrouwt, zijn als onderaannemer: cloudhosting, SaaS-uitgevers, salarisadministratiebedrijven, marketingbureaus, callcenters, CRM-systemen, e-mailproviders en IT-onderhoudsbedrijven.

De grens met de status van gegevensbeheerder is niet altijd even duidelijk. Een dienstverlener die het doel of de wijze van gegevensverwerking bepaalt, valt in een hogere categorie en draagt dan de volledige verantwoordelijkheid. Dit is precies de valkuil waar Mobius Solutions Ltd in trapte, met een boete van één miljoen euro tot gevolg. CNIL In december 2025 werd Deezer veroordeeld voor het hergebruiken van Deezer-gegevens om de eigen diensten te verbeteren, zonder enige instructie van de klant.

De verplichtingen van de onderaannemer zoals omschreven in artikel 28.

Artikel 28 van de AVG somt specifiek de volgende zaken op: verplichtingen van de onderaannemer : handel uitsluitend volgens gedocumenteerde instructies, garandeer de vertrouwelijkheid van bevoegd personeel, implementeer passende technische en organisatorische beveiligingsmaatregelen, ondersteun de gegevensbeheerder bij het beheren van de rechten van individuen en het melden van schendingen, het verwijderen of teruggeven van gegevens aan het einde van de dienstverlening, en het onderhouden van een registratie van verwerkingsactiviteiten specifiek voor zijn activiteit.

Deze laatste verplichting wordt vaak over het hoofd gezien. De CNIL (Franse Autoriteit voor Gegevensbescherming) heeft er echter in verschillende recente sancties op gewezen, waaronder in de zaak tegen Mobius Solutions. Het niet bijhouden van een register betekent dat men zichzelf het belangrijkste bewijs van naleving ontneemt in geval van een audit.

Trapsgewijze onderaanneming: voorafgaande toestemming is verplicht

Een onderaannemer mag een volgende onderaannemer ("cascade") alleen inschakelen met voorafgaande schriftelijke toestemming, specifiek of algemeen, van de opdrachtgever. gegevensbeheerderIn het geval van algemene autorisatie moet de aanbieder de klant op de hoogte stellen van eventuele wijzigingen, zodat de klant bezwaar kan maken. Een SaaS-aanbieder die afhankelijk is van een cloudhostingprovider, die op zijn beurt gebruikmaakt van een monitoringsubaanbieder, moet elke schakel in de keten kunnen documenteren.

De verplichting om onderaannemers te evalueren: een plicht die te vaak wordt verwaarloosd.

Een expliciete en structurerende verplichting van de AVG.

Artikel 28, lid 1 van de AVG is ondubbelzinnig: de gegevensbeheerder "Maak alleen gebruik van onderaannemers die voldoende garanties bieden." Dit is geen aanbeveling, maar een positieve verplichting. Voordat een contract wordt afgesloten, moet de manager ervoor zorgen dat de dienstverlener over de vaardigheden, procedures en organisatie beschikt om gegevens te verwerken in overeenstemming met de regelgeving.

Dit houdt een geformaliseerde evaluatieprocedure in: een criteria-raster, een nalevingsvragenlijst en een verzoek om ondersteunende documenten (beveiligingsbeleid, certificeringen, enz.). DPA, register, aanduiding van een DPO), analyse van latere onderaannemers, verificatie van de serverlocatie en eventuele potentiële gegevensoverdracht buiten de EU. Deze beoordeling moet worden bijgehouden en bewaard; zonder deze beoordeling kan de manager noch zijn zorgvuldigheid, noch zijn naleving van het verantwoordingsbeginsel aantonen.

Sancties van de CNIL die managers zouden moeten alarmeren

In 2024, de CNIL Het heeft 87 sancties opgelegd met een totale waarde van meer dan 55 miljoen euro. Diverse recente gevallen tonen aan dat het evalueren en reguleren van de dienstverleners een belangrijk controlegebied is geworden.

De zaak Dedalus Biologie (april 2022, €1,5 miljoen) blijft een iconisch voorbeeld. CNIL De Franse mededingingsautoriteit heeft deze softwareleverancier voor medische laboratoria gesanctioneerd na een grootschalig datalek met gezondheidsgegevens. Naast het beveiligingslek was de afwezigheid van verplichte bepalingen uit artikel 28 in de standaardcontracten de voornaamste reden. Deze beslissing markeerde een keerpunt: een onderaannemer kan nu rechtstreeks worden bestraft voor het niet correct formaliseren van de relatie, ongeacht de verantwoordelijkheid van de opdrachtgever.

De zaak Mobius Solutions Ltd / Deezer (december 2025, 1 miljoen euro) illustreert de meest voorkomende tekortkomingen: het bewaren van gegevens na afloop van het contract, verwerking buiten de instructies van de klant, het ontbreken van een register en het ontbreken van beveiligingsmaatregelen, wat leidde tot de publicatie van de gegevens van miljoenen gebruikers op het darknet.

De Discord-zaak (2022, € 800.000) leidt tot sancties aan de kant van de gegevensbeheerder Het ontbreken van een contract dat voldoet aan artikel 28. Canal+ Group, dat in 2022 een boete van € 600.000 kreeg, werd met name bestraft voor het ontbreken van voldoende contractuele afspraken. Per 27 januari 2021, CNIL hij introduceerde zijn doctrine door tegelijkertijd een goedkeuring te verlenen aan gegevensbeheerder (€150.000) en de onderaannemer (€75.000) voor het niet nemen van maatregelen tegen het frauduleus gebruik van inloggegevens.

Wat de CNIL onderzoekt tijdens haar controles

Naarmate er beslissingen worden genomen, wordt het besturingsraster van de CNIL De details zijn duidelijker geworden. De autoriteit controleert het bestaan van een GDPR-onderaannemingsovereenkomst schriftelijk en in overeenstemming met artikel 28, de documentatie van instructies, de actuele lijst van latere onderaannemers, de daadwerkelijk uitgevoerde technische en organisatorische maatregelen, de kennisgevingsprocedures voor een datalekde regelingen voor het bijstaan van personen bij hun rechten, de voorwaarden voor het beëindigen van het contract en de traceerbaarheid van uitgevoerde audits.

Om uw organisatie voor te bereiden op deze controlepunten, bieden wij u de volgende diensten aan: Een complete handleiding voor GDPR-nalevingsaudits beschrijft de toe te passen methodologie.

Wilt u uw onderaannemingsketen beveiligen en aantonen dat u aan de regelgeving voldoet? 

Een solide contractueel kader opbouwen: de GDPR-onderaannemingsovereenkomst

De dwingende bepalingen van artikel 28, lid 3

De DPA (Data Processing Agreement), Of GDPR-onderaannemingsovereenkomstmoet een kernset van bepalingen bevatten die door de regelgeving worden voorgeschreven: onderwerp en duur van de verwerking, aard en doel, type gegevens en categorieën van personen, verplichtingen en rechten van de betrokkene. gegevensbeheerderHet contract moet ook acht specifieke verplichtingen van de onderaannemer bevatten: handelen volgens gedocumenteerde instructies, vertrouwelijkheid garanderen, de vereiste veiligheidsmaatregelen nemen, alleen met toestemming nieuwe onderaannemers inschakelen, helpen bij het beantwoorden van verzoeken van personen, assisteren bij zaken betreffende beveiliging en kennisgeving, gegevens teruggeven of verwijderen aan het einde van het contract, en alle informatie beschikbaar stellen die nodig is voor audits.

De standaard algemene voorwaarden van een uitgever zijn doorgaans onvoldoende, zoals bijvoorbeeld de CNIL Dedalus en diverse andere dienstverleners, die sindsdien sancties hebben gekregen, werden hiervoor bekritiseerd. Een beoordeling per contract is essentieel.

Valkuilen die je bij het schrijven moet vermijden

Verschillende fouten ondermijnen regelmatig de naleving. Een clausule die de onderaannemer volledig vrijstelt van aansprakelijkheid is niet afdwingbaar jegens de onderaannemer. CNIL wat betreft het slachtoffer van een lek. Een ontbrekende of verouderde lijst van daaropvolgende onderaannemers legt de risico's bloot. gegevensbeheerder tot een mislukking. Vaag omschreven veiligheidsmaatregelen zijn onvoldoende: de CNIL wacht op een concreet, verifieerbaar en gedateerd referentiedocument. Het ontbreken van een procedure voor het melden van overtredingen, of termijnen die niet verenigbaar zijn met de opgelegde 72 uur, is een reden voor deze actie. gegevensbeheerderwordt systematisch ingehouden tegen onderaannemers die in gebreke blijven.

De centrale rol van de functionaris voor gegevensbescherming (DPO) en gegevensbeheer.

DE DPO De functionaris voor gegevensbescherming (FG) speelt een cruciale rol: hij of zij leidt de evaluatie van dienstverleners, valideert contractuele bepalingen, houdt toezicht op het register van onderaannemers en waarschuwt het management voor risico's. Bij afwezigheid van een FG DPODeze taken moeten worden uitgevoerd door een duidelijk omschreven functie. gegevensbeheer Het succes hangt grotendeels af van het vermogen om de relatie met onderaannemers op lange termijn te onderhouden.

Het beheren van de relatie op lange termijn: audits, monitoring en incidenten.

Een doorlopende verplichting, geen formaliteit bij ondertekening.

Het vastleggen in een contract is niet voldoende. gegevensbeheerder moet er op de lange termijn voor zorgen dat de dienstverlener zijn verplichtingen nakomt: periodieke audits, jaarlijkse evaluatie van de DPASystematische update in geval van wijziging (nieuwe onderaannemer, nieuwe opdrachtomschrijving, nieuwe serverlocatie).

Daar CNIL is expliciet: het inschakelen van een onderaannemer ontslaat je nooit van de verplichting om... gegevensbeheerder van haar zorgplicht. De sanctie van Canal+ was juist gebaseerd op de vaststelling dat er geen effectief toezicht op dienstverleners werd uitgeoefend. Omgekeerd toont een bedrijf dat in staat is auditrapporten, ingevulde vragenlijsten en actieplannen te produceren, zijn zorgvuldigheid aan, zelfs in geval van een incident.

DE Viqtor-module voor onderaannemers Centraliseert de evaluatie, het contract, de daaropvolgende onderaannemers, audits en de geschiedenis van de uitwisselingen in één enkele database.

Reageren op een datalek waarbij een dienstverlener betrokken was.

Een aanzienlijk deel van de overtredingen die jaarlijks aan de CNIL Hierbij is een onderaannemer betrokken. gegevensbeheerder Daarom moet er vanaf het begin een snelwaarschuwingssysteem in het contract worden opgenomen. De onderaannemer is verplicht zijn opdrachtgever "zo snel mogelijk" te informeren, wat in de praktijk neerkomt op 24 tot 48 uur om de wettelijke termijn van 72 uur te halen. CNILOnze pagina gewijd aan de verklaring betreffende datalekken Hij beschrijft de stappen in detail.

Wat u moet noteren

  • Elke dienstverlener die zich bezighoudt met persoonlijke gegevens voor uw account is een GDPR-onderaannemeren betrekt zowel jouw verantwoordelijkheid als die van hem.
  • Een voorafgaande beoordeling van een onderaannemer is een expliciete verplichting op grond van artikel 28, lid 1, van de AVG, maar geen goede praktijk.
  • DE GDPR-onderaannemingsovereenkomst (DPA) Alle verplichte bepalingen van artikel 28 moeten worden opgenomen; standaard algemene voorwaarden zijn vrijwel nooit voldoende.
  • De sancties CNIL Recente gevallen (Mobius €1 miljoen, Dedalus €1,5 miljoen, Canal+ €600.000, Discord €800.000) tonen aan dat de autoriteit zowel in gebreke blijvende dienstverleners als nalatige klanten bestraft.
  • Naleving wordt aangetoond door middel van documentatie: registers, audits, rapporten en actieplannen.
  • Een onderaannemingsrelatie wordt in de loop der tijd beheerd, niet alleen op het moment van ondertekening.

Veelgestelde vragen — GDPR-onderaannemer

De onderaannemer mag alleen handelen op basis van schriftelijke instructies van de gegevensbeheerder, vertrouwelijkheid garanderen, passende beveiligingsmaatregelen treffen, een register van haar activiteiten bijhouden, haar cliënt bijstaan bij het beheren van rechten en schendingen, alleen met schriftelijke toestemming gebruikmaken van onderaannemers en gegevens aan het einde van het contract retourneren of verwijderen.

Ja, met voorafgaande schriftelijke toestemming van de gegevensbeheerderSpecifieke of algemene machtiging. In het geval van een algemene machtiging moet de onderaannemer zijn opdrachtgever op de hoogte stellen van eventuele wijzigingen, zodat de opdrachtgever bezwaar kan maken. De oorspronkelijke onderaannemer blijft volledig verantwoordelijk voor de nakoming van de verplichtingen door de volgende onderaannemer en moet hem dezelfde contractuele verplichtingen opleggen.

Een onderaannemer kan door de CNIL tot maximaal €10 miljoen of €2.140.000 van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. Mobius Solutions Ltd (€1 miljoen in december 2025) en Dedalus Biologie (€1,5 miljoen in april 2022) zijn recente voorbeelden. De onderaannemer kan ook aansprakelijk worden gesteld jegens de betrokken personen op grond van artikel 82.

DE DPA Het document moet het object, de duur, de aard en het doel van de verwerking beschrijven, de categorieën gegevens en personen, en de acht verplichtingen van artikel 28(3) omvatten: gedocumenteerde instructies, vertrouwelijkheid, beveiliging, toezicht op latere subverwerkers, bijstand bij de rechten van personen, bijstand bij de kennisgeving, teruggave of vernietiging van gegevens aan het einde van het contract en het verstrekken van informatie voor audits. De lijst van latere subverwerkers moet worden bijgevoegd.

De evaluatie is gebaseerd op een aantal belangrijke criteria: het bestaan van een DPA conform, aanwezigheid van een DPODe volgende informatie moet worden verstrekt: locatie van de gegevens (bij voorkeur in de EU), beveiligingscertificeringen (ISO 27001, HDS voor de gezondheidszorg), een actuele lijst van onderaannemers, referenties en een incidentgeschiedenis. Een ingevulde en bewaarde formele compliancevragenlijst dient als bewijs van uw zorgvuldigheid in geval van een audit.

Een cloudhostingprovider die hosting aanbiedt persoonlijke gegevens Voor een opdrachtgever is dit een onderaannemer. De onderaannemer moet de beveiliging waarborgen (versleuteling, toegangscontrole, back-ups), de opdrachtgever informeren in geval van een datalek, toezicht houden op volgende onderaannemers, dataportabiliteit en effectieve verwijdering mogelijk maken en transparantie bieden met betrekking tot de locatie en overdracht van gegevens. Voor gezondheidsgegevens zijn specifieke certificeringen zoals HDS vereist.

Het beoordelen, begeleiden en aansturen van uw onderaannemers is geen kwestie van improvisatie.

Voor meer informatie: u vindt al onze bronnen over GDPR-naleving op de website. Viqtor-platform.

nl_NL_formalNL