Een SaaS-product heeft een dubbele rol: voor je eigen account- en gebruiksgegevens ben je verwerkingsverantwoordelijke, voor de gegevens die klanten via het platform verwerken ben je verwerker. Dit voorbeeld splitst die rollen netjes uit.

Account- en profielgegevens

Het voorbeeld begint met de gegevens die je zelf verzamelt voor het aanmaken en beheren van accounts. Daarvoor ben je verwerkingsverantwoordelijke en kies je een eigen grondslag.

Je rol als verwerker

Voor klantgegevens binnen het platform leg je in het voorbeeld uit dat je als verwerker optreedt en dat je daarvoor een verwerkersovereenkomst met je klanten sluit.

Subverwerkers

Hosting-, mail- en infrastructuurpartijen zijn subverwerkers. Het voorbeeld verwijst naar een actueel overzicht dat klanten kunnen opvragen of via een link kunnen bekijken.

Gebruiks- en loggegevens

Logging mag op grond van een gerechtvaardigd belang, zoals beveiliging en foutopsporing. Het voorbeeld beschrijft welke loggegevens je bewaart, waarom en hoe lang.

Twee rollen, twee petten

Het lastigste aan een SaaS-verklaring is de dubbele rol. Deze tabel maakt duidelijk wanneer je verantwoordelijke bent en wanneer verwerker.

Gegevens Jouw rol Wat je regelt
Account- en facturatiegegevens Verwerkingsverantwoordelijke Eigen grondslag + privacyverklaring
Klantdata in het platform Verwerker Verwerkersovereenkomst met je klant
Hosting en infrastructuur Jij schakelt subverwerkers in Overzicht + afspraken (art. 28)
Loggegevens Verwerkingsverantwoordelijke Gerechtvaardigd belang, korte termijn

Subverwerkers transparant maken

Zakelijke klanten willen weten wie hun data nog meer aanraakt. Houd een actueel subverwerkersoverzicht bij (hosting, mail, monitoring) en stel het via een link beschikbaar. Bij een wijziging informeer je je klanten vooraf, zoals de meeste verwerkersovereenkomsten voorschrijven.

Beveiliging

Tot slot benoemt het voorbeeld de beveiligingsmaatregelen, zoals encryptie en toegangsbeheer. Vul het aan met de maatregelen die jouw platform daadwerkelijk treft.