Agnes achter een laptop die een contract doorneemt, professionele pose, CRM-database icoon zichtbaar op het scherm.

Verwerkersovereenkomst met HubSpot: wat je moet regelen voor de AVG

GDPR, Compliance

Je gebruikt HubSpot. Heb je ook de DPA ondertekend?

HubSpot zit waarschijnlijk diep in je organisatie. Marketing draait er campagnes, sales beheert er deals, support stuurt er e-mails uit. In de praktijk betekent dat: je bewaart namen, e-mailadressen, telefoonnummers, klikgedrag en soms gespreksnotities van klanten en prospects in een Amerikaans CRM.

Volgens de AVG is HubSpot daarmee jouw verwerker. En voor elke verwerker geldt artikel 28: je hebt een verwerkersovereenkomst (DPA) nodig.

HubSpot heeft die DPA gewoon klaarstaan. Alleen: veel bedrijven hebben hem nooit geaccepteerd, niet vastgelegd in hun verwerkingsregister en geen idee welke sub-verwerkers HubSpot inschakelt. Dat is een gat dat een toezichthouder bij controle direct aanwijst.

Dit artikel is de eerste in een reeks over leveranciersspecifieke DPA's. We lopen HubSpot door in vier praktische stappen.

Controleur of verwerker: wie is wie?

Voordat je iets accepteert, moet je weten welke rol je hebt. De AVG kent twee hoofdrollen:

  • Verwerkingsverantwoordelijke (controller): bepaalt het doel en de middelen van de verwerking. Dat ben jij. Jij beslist welke leads je verzamelt, welke nieuwsbrief ze krijgen en hoe lang je hun data bewaart.
  • Verwerker (processor): verwerkt persoonsgegevens namens de verantwoordelijke. Dat is HubSpot. HubSpot verzint geen redenen om jouw klantdata te gebruiken, het slaat ze voor jou op en maakt ze bruikbaar.

Deze rolverdeling is geen formaliteit. Ze bepaalt wie aansprakelijk is bij een datalek, wie verzoeken van betrokkenen moet beantwoorden en wat er in de DPA staat. Voor HubSpot is de afspraak eenduidig: jij bent verwerkingsverantwoordelijke, HubSpot is verwerker.

Stap 1: accepteer de HubSpot DPA

HubSpot dwingt de DPA niet af bij het inloggen. Je moet er zelf naartoe.

Het pad in je HubSpot-account:

  1. Ga naar Settings (het tandwiel rechtsboven).
  2. Klik in het linkermenu op Account Defaults en daarna op Legal Stuff (afhankelijk van je plan heet dit ook wel Account and Billing of Legal).
  3. Open Data Processing Agreement.
  4. Lees de overeenkomst en klik op Accept.

Vanaf dat moment is de DPA actief voor jouw portal. Zorg dat de persoon die accepteert ook tekenbevoegd is, of dat je intern hebt afgesproken dat de DPO of een directielid deze stap doet. Bewaar een PDF of screenshot van de bevestiging in je leveranciersmap.

Stap 2: leg HubSpot vast in je verwerkingsregister

Een geaccepteerde DPA zonder registratie is een halve oplossing. De AVG verplicht je in artikel 30 om een verwerkingsregister bij te houden. HubSpot hoort daarin.

Wat noteer je per verwerking?

  • Naam van de verwerker: HubSpot, Inc.
  • Categorieën persoonsgegevens: contactgegevens, klikgedrag, formulierdata, eventueel telefoonnummers en gespreksnotities.
  • Doel: CRM, marketing automation, sales en service.
  • Bewaartermijn: jouw eigen beleid (vaak 2 of 3 jaar na laatste contact).
  • Juridische grondslag: meestal toestemming voor marketing, gerechtvaardigd belang voor klantadministratie.
  • Doorgifte: ja, naar de VS.
  • Waarborgen: SCCs en EU-US Data Privacy Framework, plus de geaccepteerde DPA.

Een goed verwerkingsregister maakt deze stap een invuloefening. Heb je nog geen register, dan is HubSpot een goed startpunt om er een op te bouwen.

Stap 3: noteer de sub-verwerkers

HubSpot doet het werk niet allemaal zelf. Voor hosting en data-infrastructuur schakelt het sub-verwerkers in, waaronder:

  • Amazon Web Services (AWS): cloudinfrastructuur en opslag.
  • Google Cloud Platform: aanvullende cloudservices.

Daarnaast werkt HubSpot met partijen voor support, e-mailbezorging en analytics. De actuele lijst staat op de Privacy and Legal-pagina van HubSpot. Plan jaarlijks een check, want sub-verwerkers veranderen.

In je register hoef je niet elke sub-verwerker individueel uit te schrijven, maar wel te vermelden dat HubSpot er gebruik van maakt en waar de lijst te vinden is. Zo kun je bij vragen van klanten of toezichthouders direct antwoorden.

Stap 4: beoordeel het doorgifterisico

HubSpot is een Amerikaans bedrijf. Een deel van de gegevensverwerking vindt plaats in de VS. Dat maakt doorgifte buiten de EER een aandachtspunt.

HubSpot dekt dit af met twee waarborgen:

  • Standard Contractual Clauses (SCCs): standaardcontractbepalingen van de Europese Commissie die rechten en plichten bij doorgifte vastleggen.
  • EU-US Data Privacy Framework: het kader dat sinds 2023 doorgifte naar gecertificeerde Amerikaanse bedrijven legitimeert.

Documenteer welke waarborgen je accepteert. Voor de meeste mkb-organisaties die HubSpot inzetten voor standaard marketing en sales is dit voldoende. Verwerk je gevoelige gegevens (bijvoorbeeld gezondheidsdata), dan is een aanvullende Data Transfer Impact Assessment (DTIA) verstandig.

Behandel HubSpot zoals elke andere leverancier

HubSpot is één van waarschijnlijk twintig tot vijftig verwerkers in je organisatie. Voor elke leverancier doorloop je dezelfde vier stappen: DPA accepteren, vastleggen in het register, sub-verwerkers noteren en doorgifte beoordelen. Wie dit ad hoc per leverancier doet, raakt het overzicht kwijt.

Met een gestructureerde aanpak voor leveranciersbeheer houd je grip: één plek waar je DPA's, sub-verwerkers en risicobeoordelingen bijhoudt, met herinneringen voor jaarlijkse herzieningen.

Wil je elke leverancier op dezelfde manier behandelen? Begin met onze gids over hoe je een verwerkersovereenkomst afsluit en bekijk daarna leveranciersbeheer AVG om de hele keten op te zetten.

Veelgestelde vragen

Heeft HubSpot een verwerkersovereenkomst?

Ja. HubSpot biedt een standaard verwerkersovereenkomst die je accepteert via Settings, Account, Legal Stuff, Data Processing Agreement. Zodra je akkoord geeft, is de DPA actief voor jouw HubSpot-account en alle aangesloten producten.

Is HubSpot AVG-compliant?

HubSpot biedt de bouwstenen om AVG-compliant te werken: een DPA conform artikel 28, SCCs en deelname aan het EU-US Data Privacy Framework. Of jouw gebruik AVG-compliant is, hangt af van hoe je het inzet, welke gegevens je verwerkt en of je leveranciersbeheer klopt.

Welke sub-verwerkers gebruikt HubSpot?

HubSpot maakt onder meer gebruik van Amazon Web Services en Google Cloud Platform voor hosting. De volledige lijst staat op de Privacy and Legal-pagina van HubSpot. Plan een jaarlijkse check.

Hoe voeg ik HubSpot toe aan mijn verwerkingsregister?

Leg vast welke persoonsgegevens je opslaat, het doel, de bewaartermijn, de juridische grondslag, of er doorgifte buiten de EER is en welke waarborgen gelden. Verwijs naar de geaccepteerde DPA en naar de lijst met sub-verwerkers.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor juridische interpretatie.


Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis