Naar de inhoud
Rollen & verwerkers

Verwerkingsverantwoordelijke of verwerker?

Jij runt het platform en bepaalt doel en grondslag als verwerkingsverantwoordelijke. OXIAE is de softwareleverancier die als verwerker optreedt: verwerkt strikt volgens jouw instructies, vastgelegd in een sluitende verwerkersovereenkomst.

AVG / GDPR Data in de EU Volledige audit trail

Laatst bijgewerkt: 1 juni 2026

Begrippen: wie is wie

De AVG werkt met een handvol kernrollen. Wie ze door elkaar haalt, legt verantwoordelijkheid op de verkeerde plek. Hieronder leggen we elk begrip in gewone taal uit, met telkens een concreet voorbeeld voor jouw platform.

Verwerkingsverantwoordelijke

De partij die het doel en de middelen van de verwerking bepaalt. Met andere woorden: wie beslist waaróm en hóe persoonsgegevens worden verwerkt, is verantwoordelijke. Deze partij draagt de AVG-eindverantwoordelijkheid tegenover betrokkenen en de toezichthouder.

Voorbeeld bij OXIAE: Jij bent verwerkingsverantwoordelijke voor jouw platform: jij bepaalt hoe aanvragen binnenkomen, hoe ze worden gematcht en aan wie ze worden geleverd.

Verwerker

De partij die persoonsgegevens verwerkt namens en in opdracht van de verwerkingsverantwoordelijke, zonder zelf het doel te bepalen. Een verwerker handelt strikt binnen de instructies en mag de gegevens niet voor eigen doeleinden gebruiken.

Voorbeeld bij OXIAE: OXIAE is de softwareleverancier die de intake, verificatie, matching en routing voor jouw platform uitvoert, als verwerker, in jouw opdracht en niet als eigenaar van het doel.

Sub-verwerker

Een partij die een verwerker inschakelt om een deel van de verwerking uit te voeren. De sub-verwerker werkt onder dezelfde afspraken die voor de verwerker gelden; de verwerker blijft aanspreekbaar voor wat de sub-verwerker doet.

Voorbeeld bij OXIAE: De cloud-hostingpartij waarop OXIAE draait, is een sub-verwerker van OXIAE: gebonden aan dezelfde beveiligings- en bewaarafspraken.

Gezamenlijke verwerkingsverantwoordelijkheid

Twee of meer partijen bepalen sámen het doel en de middelen van een verwerking. Zij zijn dan gezamenlijk verantwoordelijk en moeten onderling vastleggen wie welke AVG-plicht vervult, zoals het informeren van betrokkenen.

Voorbeeld bij OXIAE: Dit speelt in de regel niet tussen jou en OXIAE: daar is de rolverdeling helder. Het kan wél spelen tussen jou en een publisher of afnemer die samen met jou doelgroep en gebruik van een lead bepalen.

De moeilijkste vraag

Jouw platform: wie is wie

Op jouw platform zijn meerdere rollen tegelijk actief: jij als operator, OXIAE als softwareleverancier, en de publishers en afnemers die jij als gebruikers beheert. Het draait telkens om één vraag: wie bepaalt het doel?

Schakel 01

Jij (de operator)

Verwerkingsverantwoordelijke

Jij runt het platform onder eigen merk. Jij bepaalt de spelregels voor intake, matching, routing en levering, en daarmee het doel en de middelen van de verwerking. Die eindverantwoordelijkheid ligt bij jou, niet bij OXIAE.

Schakel 02

OXIAE (softwareleverancier)

Verwerker

OXIAE levert en beheert de white-label software waarmee jij het platform draait, en verwerkt daarbij persoonsgegevens strikt volgens jouw instructies en de verwerkersovereenkomst, zonder zelf het doel te bepalen.

Schakel 03

Publishers & afnemers (jouw gebruikers)

Rollen binnen jouw platform

Publishers leveren aanvragen aan, afnemers nemen ze af: allebei zijn het rollen die jij inricht en beheert in jouw platform, geen aparte klanten van OXIAE. Waar publishers of afnemers voor eigen gebruik zelfstandig het doel bepalen, kunnen zij daarvoor zelf een eigen verwerkingsverantwoordelijkheid hebben.

Tussen jou en OXIAE is de rolverdeling vastgelegd in de verwerkersovereenkomst. Voor publishers en afnemers geldt: het zijn rollen in jouw platform, geen aparte contractpartijen van OXIAE.

Wie doet wat

Een heldere verdeling van verantwoordelijkheden tussen jou als verwerkingsverantwoordelijke en OXIAE als verwerker.

Aspect Jij (verwerkingsverantwoordelijke) OXIAE (verwerker)
Doel & grondslag bepalen Bepaalt waarvoor de gegevens in jouw platform worden gebruikt en op welke grondslag. Verwerkt uitsluitend voor het door jou bepaalde doel, niet daarbuiten.
Persoonsgegevens verwerken Geeft schriftelijke opdracht en kaders voor de verwerking via de verwerkersovereenkomst. Verwerkt enkel volgens jouw instructie, uitgevoerd door de software die je licenseert.
Beveiliging Toetst of de maatregelen passen bij jouw gegevens, publishers, afnemers en risico. Treft passende technische en organisatorische maatregelen: encryptie, toegangscontrole en logging.
Bewaartermijnen instellen Stelt in het platform vast hoe lang gegevens bewaard mogen blijven. Past de ingestelde termijnen toe en verwijdert of anonimiseert na afloop.
Sub-verwerkers Beoordeelt en geeft toestemming voor inschakeling van sub-verwerkers van OXIAE. Schakelt alleen vooraf gemelde sub-verwerkers in, onder dezelfde afspraken.
Datalekken melden Meldt waar nodig aan de toezichthouder en aan jouw publishers of afnemers. Informeert jou zonder onredelijke vertraging en ondersteunt bij de afhandeling.

De exacte afspraken worden vastgelegd in de verwerkersovereenkomst.

Wat staat er in de verwerkersovereenkomst

De verwerkersovereenkomst (vaak afgekort tot VWO) is het document dat de samenwerking tussen jou en OXIAE juridisch sluitend maakt. De AVG schrijft een aantal kernclausules voor; OXIAE neemt die standaard op, zodat je niet alles zelf hoeft te onderhandelen.

Doel & reikwijdte

Welke gegevens, voor welk doel en binnen welke kaders OXIAE als verwerker voor jouw platform mag verwerken, niets daarbuiten.

Instructies

OXIAE verwerkt uitsluitend op gedocumenteerde instructie van jou als verantwoordelijke, inclusief bij doorgifte.

Beveiliging

Passende technische en organisatorische maatregelen: encryptie, toegangscontrole, logging en monitoring.

Bewaartermijn

Hoe lang gegevens bewaard blijven en wanneer ze automatisch worden verwijderd of geanonimiseerd.

Sub-verwerkers

Onder welke voorwaarden OXIAE sub-verwerkers inschakelt, met meldplicht en bezwaarmogelijkheid.

Audit-recht

Jouw recht om naleving te (laten) controleren, met inzage in rapportages en de audit trail.

Teruggave & verwijdering

Wat er bij beëindiging gebeurt: teruggave of aantoonbare verwijdering van alle persoonsgegevens.

Een verwerkersovereenkomst aanvragen of inzien? Je vindt het standaardmodel en het aanvraagproces op de dedicated pagina.

Naar de verwerkersovereenkomst
Transparant over de keten

Sub-verwerkers

OXIAE schakelt voor onderdelen als hosting en e-mail zorgvuldig geselecteerde sub-verwerkers in. Allemaal gebonden aan dezelfde beveiligings- en bewaarafspraken die in jouw verwerkersovereenkomst staan.

Wijzigingen in de lijst melden we vooraf, zodat je tijd hebt om te beoordelen. Je hebt dan een bezwaartermijn van 30 dagen om gemotiveerd bezwaar te maken tegen een nieuwe sub-verwerker. De actuele lijst is altijd opvraagbaar.

Sub-verwerker Doel Locatie
Cloud-hosting (EU-regio) Opslag en hosting van de applicatie en database EU
E-maildienst Transactionele berichten en notificaties EU
Foutmonitoring & logging Beveiligings- en stabiliteitsmonitoring EU

Laatst herzien op 12 maart 2026. De volledige, actuele lijst maakt onderdeel uit van de verwerkersovereenkomst.

Datalek: wie doet wat, en wanneer

Mocht zich onverhoopt een incident voordoen, dan is vooraf vastgelegd wie welke stap zet. Snelheid en duidelijkheid bepalen of een lek beheersbaar blijft.

01

Detectie & vastlegging

OXIAE detecteert het incident via monitoring en logging, legt het direct vast en start de interne beoordeling.

02

Melding aan jou

Als verwerker informeert OXIAE jou zonder onredelijke vertraging, met de feiten die je nodig hebt om je eigen plicht te beoordelen.

03

Beoordeling toezichthouder

Jij beoordeelt als verantwoordelijke of melding aan de Autoriteit Persoonsgegevens nodig is, in beginsel binnen 72 uur na bekendwording.

04

Publishers, afnemers & herstel

Bij hoog risico informeer jij de betrokken publishers of afnemers in jouw platform. OXIAE ondersteunt bij onderzoek, herstel en het voorkomen van herhaling.

Vastgelegd, niet mondeling

Afspraken die vastliggen

Verantwoordelijkheden zijn pas betrouwbaar als ze schriftelijk en controleerbaar zijn. Daarom legt OXIAE de samenwerking met jou vast in een verwerkersovereenkomst en handhaaft het platform strikte toegang op basis van rol en recht.

  • Verwerkersovereenkomst

    Een verwerkersovereenkomst legt de afspraken over doel, instructies, beveiliging en bewaartermijnen schriftelijk vast, conform de eisen die de AVG aan verwerkers stelt.

  • Least-privilege toegang

    Niemand heeft meer toegang dan strikt nodig is voor zijn taak. Toegang is gekoppeld aan rol en context en wordt periodiek herzien.

  • Rollen & rechten

    Heldere rollen bepalen wie in jouw platform gegevens mag inzien, verwerken of exporteren. Elke handeling is herleidbaar in de audit trail.

Veelgestelde vragen over rollen en verwerkers

De meestgestelde vragen over verantwoordelijkheid, verwerkersafspraken en sub-verwerkers binnen OXIAE.

Is OXIAE verwerker of verwerkingsverantwoordelijke?

OXIAE is als softwareleverancier verwerker voor de gegevens die het platform namens jou verwerkt: intake, verificatie, matching, routing en levering. Jij blijft verwerkingsverantwoordelijke omdat jij het doel en de grondslag bepaalt. De rolverdeling wordt vastgelegd in de verwerkersovereenkomst.

Zijn publishers en afnemers klanten van OXIAE?

Nee. Publishers en afnemers zijn rollen die jij inricht en beheert in jouw platform. Zij hebben geen directe contractrelatie met OXIAE; jij bent en blijft verantwoordelijk voor hoe je hen in je platform behandelt.

Wie is verantwoordelijk als een publisher via mijn platform een lead aanlevert?

Voor het platform als geheel (intake, matching, routing) ben jij verwerkingsverantwoordelijke en handelt OXIAE als verwerker. Waar een publisher voor zijn eigen werving zelfstandig doelgroep en consenttekst bepaalt, kan die publisher daarvoor een eigen verantwoordelijkheid hebben, los van jouw platform.

Hoe vraag ik een verwerkersovereenkomst aan?

Je vindt het standaardmodel en het aanvraagproces op de pagina /verwerkersovereenkomst. Daar staat ook welke kernclausules standaard zijn opgenomen, zodat je niet vanaf nul hoeft te onderhandelen.

Worden sub-verwerkers vooraf gemeld?

Ja. Nieuwe of gewijzigde sub-verwerkers van OXIAE melden we vooraf. Je hebt vervolgens een bezwaartermijn van 30 dagen om gemotiveerd bezwaar te maken. De actuele lijst is altijd opvraagbaar.

Wat gebeurt er bij een datalek?

OXIAE detecteert en legt het incident vast en informeert jou zonder onredelijke vertraging. Jij beoordeelt als verantwoordelijke of melding aan de Autoriteit Persoonsgegevens nodig is, in beginsel binnen 72 uur, en informeert zo nodig jouw publishers of afnemers. OXIAE ondersteunt bij onderzoek en herstel.

Wat gebeurt er met de gegevens als de samenwerking stopt?

Bij beëindiging worden alle persoonsgegevens teruggegeven of aantoonbaar verwijderd, volgens de afspraken in de verwerkersovereenkomst. De verwijdering is herleidbaar in de audit trail.

Helder over rollen, sluitend op papier

Plan een demo en zie hoe OXIAE rollen, rechten en verwerkersafspraken aantoonbaar vastlegt voor jouw platform.