Welke leveranciers moet ik registreren?

Elke leverancier die namens jou persoonsgegevens verwerkt: je salarisadministratie, CRM, e-mailtool, hostingpartij, cloudopslag. Als ze persoonsgegevens van jouw klanten of medewerkers kunnen inzien of verwerken, horen ze in je leveranciersregister. Leveranciers die uitsluitend eigen verwerkingen uitvoeren — denk aan een schoonmaakbedrijf — hoeven daar doorgaans niet in.

Heb ik met elke leverancier een verwerkersovereenkomst nodig?

Alleen met verwerkers: partijen die in jouw opdracht persoonsgegevens verwerken. Niet met elke leverancier. ComplianceHive laat je per leverancier vastleggen welke rol ze spelen, zodat je kunt beoordelen of een verwerkersovereenkomst verplicht is.

Wat als een leverancier buiten de EU is gevestigd?

Dan gelden aanvullende AVG-regels voor doorgifte van persoonsgegevens buiten de Europese Economische Ruimte. ComplianceHive laat je de verwerkingslocatie en juridische grondslag per leverancier vastleggen. Zo heb je altijd inzicht in welke doorgifte plaatsvindt en op welke basis.

Welke leveranciers verwerken jouw persoonsgegevens?

De meeste mkb-organisaties hebben tientallen leveranciers maar geen overzicht van welke daarvan persoonsgegevens verwerken namens hen. ComplianceHive geeft je één centrale plek voor leveranciers, certificaten en documenten — zodat je bij elke audit weet waar je staat.

Data gehost in de EU. Koppel leveranciers direct aan je systemen voor volledig inzicht in je verwerkingsketen.

Start gratis proefperiode Bekijk prijzen

Het probleem met losse mappen en spreadsheets

Vraag in de meeste mkb-organisaties wie de leveranciers zijn die persoonsgegevens verwerken, en je krijgt een onzeker antwoord. Misschien staan ze in een Excel. Misschien in een gedeelde map. Misschien weet de DPO het, maar die is al drie maanden ziek.

Bij een AVG-audit is dit precies het eerste wat een toezichthouder wil weten: welke partijen verwerken persoonsgegevens namens jouw organisatie? Is er een verwerkersovereenkomst? Is die getekend? Is de leverancier gecertificeerd? Als het antwoord 'dat staat ergens' is, ben je kwetsbaar.

De AVG verplicht je niet alleen om verwerkersovereenkomsten te sluiten met verwerkers — je moet ook kunnen aantonen dat je weet wie je verwerkers zijn, welke persoonsgegevens ze verwerken, en of ze de juiste waarborgen bieden. Een spreadsheet is daar structureel ongeschikt voor: er is geen versiehistorie, geen koppeling aan systemen, en geen systematische beoordeling van risico per leverancier.

Zo helpt ComplianceHive

Leveranciersregister op één plek
Leg per leverancier vast: naam, contactpersoon, type dienstverlening, verwerkingslocatie en rol (verwerker of niet). Zo weet je altijd precies wie je leveranciers zijn en wat ze voor je doen.

Certificaten en documenten bijhouden
Registreer welke leveranciers ISO 27001, SOC 2 of andere relevante certificaten hebben. Upload verwerkersovereenkomsten en andere documenten direct bij de leverancierkaart. Alles op één plek, altijd vindbaar.

Koppel leveranciers aan je systemen
In ComplianceHive koppel je leveranciers aan de systemen die zij beheren. Zo zie je direct via welke tools persoonsgegevens bij welke partij terechtkomen — en welke verwerkingen aan die keten hangen.

Inzicht in doorgifte buiten de EU
Verwerkt een leverancier data buiten de EER? ComplianceHive laat je de verwerkingslocatie en de juridische grondslag voor doorgifte vastleggen per leverancier. Zo heb je aantoonbaar inzicht in je internationale verwerkingsketen.

Van leveranciersoverzicht naar aantoonbare compliance

Een volledig leveranciersregister is niet alleen nuttig bij een audit — het is de basis voor je volledige verwerkingsketen. Je verwerkingsregister is pas compleet als de leveranciers en subverwerkers erin zijn opgenomen. Je DPIA is pas volledig als je weet welke externe partijen bij de verwerking betrokken zijn.

Als er een datalek plaatsvindt, is het eerste wat je moet weten: welke leveranciers hadden toegang tot de getroffen data? Met een compleet en actueel leveranciersregister kun je die vraag binnen minuten beantwoorden — in plaats van uren.

Verwerkingsregister opbouwen →Meer over AVG leveranciersbeheer →

Veelgestelde vragen over leveranciersbeheer en de AVG

Welke leveranciers moet ik registreren?: Elke leverancier die namens jou persoonsgegevens verwerkt: je salarisadministratie, CRM, e-mailtool, hostingpartij, cloudopslag. Als ze persoonsgegevens van jouw klanten of medewerkers kunnen inzien of verwerken, horen ze in je leveranciersregister. Leveranciers die uitsluitend eigen verwerkingen uitvoeren — denk aan een schoonmaakbedrijf — hoeven daar doorgaans niet in.
Heb ik met elke leverancier een verwerkersovereenkomst nodig?: Alleen met verwerkers: partijen die in jouw opdracht persoonsgegevens verwerken. Niet met elke leverancier. ComplianceHive laat je per leverancier vastleggen welke rol ze spelen, zodat je kunt beoordelen of een verwerkersovereenkomst verplicht is.
Wat als een leverancier buiten de EU is gevestigd?: Dan gelden aanvullende AVG-regels voor doorgifte van persoonsgegevens buiten de Europese Economische Ruimte. ComplianceHive laat je de verwerkingslocatie en juridische grondslag per leverancier vastleggen. Zo heb je altijd inzicht in welke doorgifte plaatsvindt en op welke basis.