Verwerkingsverantwoordelijke of verwerker?
Jij runt het platform en bepaalt doel en grondslag als verwerkingsverantwoordelijke. OXIAE is de softwareleverancier die als verwerker optreedt: verwerkt strikt volgens jouw instructies, vastgelegd in een sluitende verwerkersovereenkomst.
Laatst bijgewerkt: 1 juni 2026
Begrippen: wie is wie
De AVG werkt met een handvol kernrollen. Wie ze door elkaar haalt, legt verantwoordelijkheid op de verkeerde plek. Hieronder leggen we elk begrip in gewone taal uit, met telkens een concreet voorbeeld voor jouw platform.
Verwerkingsverantwoordelijke
De partij die het doel en de middelen van de verwerking bepaalt. Met andere woorden: wie beslist waaróm en hóe persoonsgegevens worden verwerkt, is verantwoordelijke. Deze partij draagt de AVG-eindverantwoordelijkheid tegenover betrokkenen en de toezichthouder.
Voorbeeld bij OXIAE: Jij bent verwerkingsverantwoordelijke voor jouw platform: jij bepaalt hoe aanvragen binnenkomen, hoe ze worden gematcht en aan wie ze worden geleverd.
Verwerker
De partij die persoonsgegevens verwerkt namens en in opdracht van de verwerkingsverantwoordelijke, zonder zelf het doel te bepalen. Een verwerker handelt strikt binnen de instructies en mag de gegevens niet voor eigen doeleinden gebruiken.
Voorbeeld bij OXIAE: OXIAE is de softwareleverancier die de intake, verificatie, matching en routing voor jouw platform uitvoert, als verwerker, in jouw opdracht en niet als eigenaar van het doel.
Sub-verwerker
Een partij die een verwerker inschakelt om een deel van de verwerking uit te voeren. De sub-verwerker werkt onder dezelfde afspraken die voor de verwerker gelden; de verwerker blijft aanspreekbaar voor wat de sub-verwerker doet.
Voorbeeld bij OXIAE: De cloud-hostingpartij waarop OXIAE draait, is een sub-verwerker van OXIAE: gebonden aan dezelfde beveiligings- en bewaarafspraken.
Gezamenlijke verwerkingsverantwoordelijkheid
Twee of meer partijen bepalen sámen het doel en de middelen van een verwerking. Zij zijn dan gezamenlijk verantwoordelijk en moeten onderling vastleggen wie welke AVG-plicht vervult, zoals het informeren van betrokkenen.
Voorbeeld bij OXIAE: Dit speelt in de regel niet tussen jou en OXIAE: daar is de rolverdeling helder. Het kan wél spelen tussen jou en een publisher of afnemer die samen met jou doelgroep en gebruik van een lead bepalen.
Jouw platform: wie is wie
Op jouw platform zijn meerdere rollen tegelijk actief: jij als operator, OXIAE als softwareleverancier, en de publishers en afnemers die jij als gebruikers beheert. Het draait telkens om één vraag: wie bepaalt het doel?
Jij (de operator)
Jij runt het platform onder eigen merk. Jij bepaalt de spelregels voor intake, matching, routing en levering, en daarmee het doel en de middelen van de verwerking. Die eindverantwoordelijkheid ligt bij jou, niet bij OXIAE.
OXIAE (softwareleverancier)
OXIAE levert en beheert de white-label software waarmee jij het platform draait, en verwerkt daarbij persoonsgegevens strikt volgens jouw instructies en de verwerkersovereenkomst, zonder zelf het doel te bepalen.
Publishers & afnemers (jouw gebruikers)
Publishers leveren aanvragen aan, afnemers nemen ze af: allebei zijn het rollen die jij inricht en beheert in jouw platform, geen aparte klanten van OXIAE. Waar publishers of afnemers voor eigen gebruik zelfstandig het doel bepalen, kunnen zij daarvoor zelf een eigen verwerkingsverantwoordelijkheid hebben.
Tussen jou en OXIAE is de rolverdeling vastgelegd in de verwerkersovereenkomst. Voor publishers en afnemers geldt: het zijn rollen in jouw platform, geen aparte contractpartijen van OXIAE.
Wie doet wat
Een heldere verdeling van verantwoordelijkheden tussen jou als verwerkingsverantwoordelijke en OXIAE als verwerker.
| Aspect | Jij (verwerkingsverantwoordelijke) | OXIAE (verwerker) |
|---|---|---|
| Doel & grondslag bepalen | Bepaalt waarvoor de gegevens in jouw platform worden gebruikt en op welke grondslag. | Verwerkt uitsluitend voor het door jou bepaalde doel, niet daarbuiten. |
| Persoonsgegevens verwerken | Geeft schriftelijke opdracht en kaders voor de verwerking via de verwerkersovereenkomst. | Verwerkt enkel volgens jouw instructie, uitgevoerd door de software die je licenseert. |
| Beveiliging | Toetst of de maatregelen passen bij jouw gegevens, publishers, afnemers en risico. | Treft passende technische en organisatorische maatregelen: encryptie, toegangscontrole en logging. |
| Bewaartermijnen instellen | Stelt in het platform vast hoe lang gegevens bewaard mogen blijven. | Past de ingestelde termijnen toe en verwijdert of anonimiseert na afloop. |
| Sub-verwerkers | Beoordeelt en geeft toestemming voor inschakeling van sub-verwerkers van OXIAE. | Schakelt alleen vooraf gemelde sub-verwerkers in, onder dezelfde afspraken. |
| Datalekken melden | Meldt waar nodig aan de toezichthouder en aan jouw publishers of afnemers. | Informeert jou zonder onredelijke vertraging en ondersteunt bij de afhandeling. |
De exacte afspraken worden vastgelegd in de verwerkersovereenkomst.
Wat staat er in de verwerkersovereenkomst
De verwerkersovereenkomst (vaak afgekort tot VWO) is het document dat de samenwerking tussen jou en OXIAE juridisch sluitend maakt. De AVG schrijft een aantal kernclausules voor; OXIAE neemt die standaard op, zodat je niet alles zelf hoeft te onderhandelen.
Doel & reikwijdte
Welke gegevens, voor welk doel en binnen welke kaders OXIAE als verwerker voor jouw platform mag verwerken, niets daarbuiten.
Instructies
OXIAE verwerkt uitsluitend op gedocumenteerde instructie van jou als verantwoordelijke, inclusief bij doorgifte.
Beveiliging
Passende technische en organisatorische maatregelen: encryptie, toegangscontrole, logging en monitoring.
Bewaartermijn
Hoe lang gegevens bewaard blijven en wanneer ze automatisch worden verwijderd of geanonimiseerd.
Sub-verwerkers
Onder welke voorwaarden OXIAE sub-verwerkers inschakelt, met meldplicht en bezwaarmogelijkheid.
Audit-recht
Jouw recht om naleving te (laten) controleren, met inzage in rapportages en de audit trail.
Teruggave & verwijdering
Wat er bij beëindiging gebeurt: teruggave of aantoonbare verwijdering van alle persoonsgegevens.
Een verwerkersovereenkomst aanvragen of inzien? Je vindt het standaardmodel en het aanvraagproces op de dedicated pagina.
Naar de verwerkersovereenkomstSub-verwerkers
OXIAE schakelt voor onderdelen als hosting en e-mail zorgvuldig geselecteerde sub-verwerkers in. Allemaal gebonden aan dezelfde beveiligings- en bewaarafspraken die in jouw verwerkersovereenkomst staan.
Wijzigingen in de lijst melden we vooraf, zodat je tijd hebt om te beoordelen. Je hebt dan een bezwaartermijn van 30 dagen om gemotiveerd bezwaar te maken tegen een nieuwe sub-verwerker. De actuele lijst is altijd opvraagbaar.
| Sub-verwerker | Doel | Locatie |
|---|---|---|
| Cloud-hosting (EU-regio) | Opslag en hosting van de applicatie en database | EU |
| E-maildienst | Transactionele berichten en notificaties | EU |
| Foutmonitoring & logging | Beveiligings- en stabiliteitsmonitoring | EU |
Laatst herzien op 12 maart 2026. De volledige, actuele lijst maakt onderdeel uit van de verwerkersovereenkomst.
Datalek: wie doet wat, en wanneer
Mocht zich onverhoopt een incident voordoen, dan is vooraf vastgelegd wie welke stap zet. Snelheid en duidelijkheid bepalen of een lek beheersbaar blijft.
Detectie & vastlegging
OXIAE detecteert het incident via monitoring en logging, legt het direct vast en start de interne beoordeling.
Melding aan jou
Als verwerker informeert OXIAE jou zonder onredelijke vertraging, met de feiten die je nodig hebt om je eigen plicht te beoordelen.
Beoordeling toezichthouder
Jij beoordeelt als verantwoordelijke of melding aan de Autoriteit Persoonsgegevens nodig is, in beginsel binnen 72 uur na bekendwording.
Publishers, afnemers & herstel
Bij hoog risico informeer jij de betrokken publishers of afnemers in jouw platform. OXIAE ondersteunt bij onderzoek, herstel en het voorkomen van herhaling.
Afspraken die vastliggen
Verantwoordelijkheden zijn pas betrouwbaar als ze schriftelijk en controleerbaar zijn. Daarom legt OXIAE de samenwerking met jou vast in een verwerkersovereenkomst en handhaaft het platform strikte toegang op basis van rol en recht.
-
Verwerkersovereenkomst
Een verwerkersovereenkomst legt de afspraken over doel, instructies, beveiliging en bewaartermijnen schriftelijk vast, conform de eisen die de AVG aan verwerkers stelt.
-
Least-privilege toegang
Niemand heeft meer toegang dan strikt nodig is voor zijn taak. Toegang is gekoppeld aan rol en context en wordt periodiek herzien.
-
Rollen & rechten
Heldere rollen bepalen wie in jouw platform gegevens mag inzien, verwerken of exporteren. Elke handeling is herleidbaar in de audit trail.
Veelgestelde vragen over rollen en verwerkers
De meestgestelde vragen over verantwoordelijkheid, verwerkersafspraken en sub-verwerkers binnen OXIAE.
Is OXIAE verwerker of verwerkingsverantwoordelijke?
OXIAE is als softwareleverancier verwerker voor de gegevens die het platform namens jou verwerkt: intake, verificatie, matching, routing en levering. Jij blijft verwerkingsverantwoordelijke omdat jij het doel en de grondslag bepaalt. De rolverdeling wordt vastgelegd in de verwerkersovereenkomst.
Zijn publishers en afnemers klanten van OXIAE?
Nee. Publishers en afnemers zijn rollen die jij inricht en beheert in jouw platform. Zij hebben geen directe contractrelatie met OXIAE; jij bent en blijft verantwoordelijk voor hoe je hen in je platform behandelt.
Wie is verantwoordelijk als een publisher via mijn platform een lead aanlevert?
Voor het platform als geheel (intake, matching, routing) ben jij verwerkingsverantwoordelijke en handelt OXIAE als verwerker. Waar een publisher voor zijn eigen werving zelfstandig doelgroep en consenttekst bepaalt, kan die publisher daarvoor een eigen verantwoordelijkheid hebben, los van jouw platform.
Hoe vraag ik een verwerkersovereenkomst aan?
Je vindt het standaardmodel en het aanvraagproces op de pagina /verwerkersovereenkomst. Daar staat ook welke kernclausules standaard zijn opgenomen, zodat je niet vanaf nul hoeft te onderhandelen.
Worden sub-verwerkers vooraf gemeld?
Ja. Nieuwe of gewijzigde sub-verwerkers van OXIAE melden we vooraf. Je hebt vervolgens een bezwaartermijn van 30 dagen om gemotiveerd bezwaar te maken. De actuele lijst is altijd opvraagbaar.
Wat gebeurt er bij een datalek?
OXIAE detecteert en legt het incident vast en informeert jou zonder onredelijke vertraging. Jij beoordeelt als verantwoordelijke of melding aan de Autoriteit Persoonsgegevens nodig is, in beginsel binnen 72 uur, en informeert zo nodig jouw publishers of afnemers. OXIAE ondersteunt bij onderzoek en herstel.
Wat gebeurt er met de gegevens als de samenwerking stopt?
Bij beëindiging worden alle persoonsgegevens teruggegeven of aantoonbaar verwijderd, volgens de afspraken in de verwerkersovereenkomst. De verwijdering is herleidbaar in de audit trail.
Helder over rollen, sluitend op papier
Plan een demo en zie hoe OXIAE rollen, rechten en verwerkersafspraken aantoonbaar vastlegt voor jouw platform.