Een sub-verwerker is een derde partij die persoonsgegevens verwerkt namens je directe leverancier. Gebruik je een klantenserviceplatform, dan is dat platform jouw verwerker. De cloudprovider die het platform host, is een sub-verwerker. De e-maildienst die het gebruikt voor notificaties is nog een sub-verwerker. De AI-inferentiedienst die klantvragen beantwoordt is er weer een.
Artikel 28 AVG verplicht verwerkers om sub-verwerkers bij naam te noemen, met doel en locatie, en geeft verantwoordelijken (jou) het recht om bezwaar te maken tegen wijzigingen.
Waarom sub-verwerkers ertoe doen
Een leverancier kan zijn eigen systemen perfect beveiligd hebben en data alsnog laten lekken via een sub-verwerker. De cloud-host, de e-mailprovider, de analytics-tool: elk is een mogelijk lekpunt. Wie de lijst kent, weet hoeveel van zijn data reist en waarheen.
Het telt ook voor residentie. Een leverancier kan primaire systemen in de EU hebben, maar voor transactionele e-mail een Amerikaanse sub-verwerker gebruiken. Persoonsgegevens steken dan elke notificatie de oceaan over. Voor sommige kopers prima. Voor andere een probleem.
Hoe een goede sub-verwerkerslijst eruitziet
Een goede lijst heeft drie kolommen: bedrijfsnaam, doel en locatie. Optionele vierde kolom: relevante certificeringen (ISO 27001, SOC 2). Hij staat op een openbare pagina, wordt bijgewerkt zodra er sub-verwerkers bijkomen, en wijzigingen worden vooraf aangekondigd met de mogelijkheid tot bezwaar.
Een vage lijst die zegt "wij kunnen gebruik maken van verschillende derden" voldoet niet. Een lijst die bedrijven noemt maar niet vertelt wat ze doen of waar ze zitten, is niet genoeg. Een lijst die AI-leveranciers noemt maar verlegen weigert "AI-inferentie" als doel te schrijven, is verdacht.
Het recht op kennisgeving
Voegt een leverancier een sub-verwerker toe of vervangt hij er een, dan zegt de AVG dat hij verantwoordelijken vooraf moet informeren en de kans op bezwaar moet bieden. In de praktijk geven de meeste leveranciers dertig dagen kennisgeving en behouden ze het recht om door te gaan met de wijziging, tenzij de verantwoordelijke het contract opzegt. Mag, mits het contract dat zo regelt.
Voor de meeste SMB-kopers is het kennisgevingsmechanisme meer theorie dan praktijk. Weinig SMBs lezen elke sub-verwerker-mail. Maar het recht bestaat en de openbaarmaking ook.
In Keloa
In Keloa is de sub-verwerkerslijst openbaar, noemt hij elke partij die je data raakt, vermeldt hij doel en locatie, en wordt hij genoemd in de Verwerkersovereenkomst (DPA). Wijzigingen worden aangekondigd voor ze ingaan. Zie beveiliging en data residency voor het grotere plaatje.