Compliance · Article 11.8
Subverwerkers: wie Clozo gebruikt, waar gegevens naartoe gaan, en waarom het veilig is
Clozo gebruikt 10 subverwerkers om de dienst te leveren (per Privacybeleid §6); 6 zijn EU-gevestigd, 5 zijn US-gevestigd met actieve EU-VS Data Privacy Framework-certificering + Standaard Contractbepalingen + aanvullende maatregelen gedocumenteerd in onze Transfer Impact Assessment. Crisp toegevoegd in BATCH-2026-05-07-003 BUG-001.
Moderne SaaS draait op externe infrastructuur. De vraag voor de AVG is niet "gebruikt u externe partijen?" maar "beheerst u de relatie en documenteert u de waarborgen?" Clozo onderhoudt een gepubliceerde lijst van elke subverwerker, de gegevens die ze ontvangen, en het juridische mechanisme voor transfers buiten de EU. Dit artikel doorloopt de lijst, de categorieën en het Schrems II-kader dat transfers naar de VS beheerst.
Why this works this way
De volledige subverwerkers-lijst (spiegelt docs/compliance/RoPA.md "Sub-Processors List" en Privacybeleid §6 — 10 vermeldingen):
| # | Subverwerker | Functie | Regio | Transfermechanisme |
|---|---|---|---|---|
| 1 | Stripe Payments Europe Ltd + Stripe Inc. | Abonnementsfacturering + betalingsverwerking (EU-zijde controller in Ierland; VS-zijde verwerker voor sommige bewerkingen) | Ierland (primair) + VS (Delaware) | Intern EU + EU-VS DPF + SCCs Module 2 |
| 2 | Railway Corp. | Backend + Celery + PostgreSQL-hosting | EU (regio: europe-west4, Nederland) | EU-VS DPF + SCCs (controlelaag in VS) |
| 3 | Cloudflare Inc. | Edge CDN, DDoS, Workers (frontend, marketingsite, admin) | Globale edge met EU-regioprouting voor inkomend verkeer | EU-VS DPF + SCCs |
| 4 | PostHog Inc. | Productanalytics — ingestie op EU-servers (eu.i.posthog.com) | VK-hoofdkantoor; EU-instantie gehost in Frankfurt, Duitsland | VK-adequaatheidsbesluit + SCCs |
| 5 | Google Ireland Ltd + Google LLC | Google Ads + GA4 conversie-attributie | Ierland (controller) → VS (verwerker) | EU-VS DPF + Google SCCs |
| 6 | Resend Inc. | Transactionele e-mailbezorging | VS (Delaware), met EU-Frankfurt-bezorgingsinfrastructuur | EU-VS DPF + SCCs Module 2 + Resend DPA |
| 7 | Gotenberg | PDF-rendering — zelf-gehost op Railway | EU (binnen Railway) | Intern EU |
| 8 | Cloudflare R2 | Objectopslag voor PDF's en e-factuur XML | EER-regio | Intern EU |
| 9 | Crisp IM SAS + Crisp IM, Inc | Klantenondersteuningschat (toestemmingsvereist) | Frankrijk (primair) + VS | EU-VS DPF + SCCs |
| 10 | Sentry (Functional Software, Inc.) | Foutmonitoring | EU-regio (de.sentry.io) | Intern EU (met VS-terugval onder SCCs als EU-instantie uitvalt) |
Het Schrems II-kader. Het arrest van het Hof van Justitie van de Europese Unie in Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems (Zaak C-311/18, 2020) maakte het EU-VS Privacy Shield ongeldig, oordelend dat de VS-surveillancewetgeving (met name FISA Sectie 702 en Executive Order 12333) geen bescherming biedt die "in wezen gelijkwaardig" is aan de AVG voor EU-persoonsgegevens die naar de VS worden overgedragen. Twee gevolgen:
1. SCCs (Standaard Contractbepalingen) blijven geldig als juridisch mechanisme — Besluit (EU) 2021/914 publiceerde de nieuwe modulaire SCCs in 2021 — maar de verwerkingsverantwoordelijke moet beoordelen of de invoerder in de praktijk AVG-gelijkwaardige bescherming kan bieden gezien de lokale surveillancewetgeving. Deze beoordeling is de Transfer Impact Assessment (TIA). 2. Aanvullende maatregelen (versleuteling, pseudonimisering, dataminimalisatie) kunnen nodig zijn waar lokale wetgeving anders onevenredige toegang zou mogelijk maken.
Het EU-VS Data Privacy Framework (DPF), van kracht per 10 juli 2023 (Uitvoeringsbesluit van de Commissie (EU) 2023/1795), herstelt adequaatheid voor deelnemende Amerikaanse invoerders. Bedrijven certificeren bij het Amerikaanse Ministerie van Handel; certificeringen zijn vermeld op https://www.dataprivacyframework.gov/list. Alle vijf Amerikaanse subverwerkers van Clozo onderhouden actieve DPF-certificering per de versiedatum van dit document.
De TIA-aanpak van Clozo (volledig document op docs/compliance/TIA_us_subprocessors.md):
Voor elke Amerikaanse subverwerker passen we de zesstappenmethodologie van EDPB Aanbevelingen 01/2020 toe:
1. Ken uw transfers: gedocumenteerd in de bovenstaande tabel met volume + doel + rechtsgrondslag.
2. Identificeer het transferinstrument: DPF (primair) + SCCs Module 2 (backup) + subverwerker-specifieke DPA.
3. Beoordeel de effectiviteit: per-invoerder beoordeling van FISA 702 / EO 12333 / CLOUD Act-blootstelling.
4. Neem aanvullende maatregelen: pseudonimisering (SHA-256-hashing voor Google), dataminimalisatie (geen PBI voorbij het noodzakelijke), versleuteling in rust en in transit, retentielimieten.
5. Procedurele stappen: DPA ondertekenen, jaarlijks actieve DPF-certificering verifiëren, de TIA documenteren, het veld recipients van RoPA bijwerken, Privacybeleid s5/s6 bijwerken.
6. Herbeoordeeld: geactiveerd door Schrems-III-rechtbankuitspraak, DPF-intrekking, of subverwerkerwijziging.
Belangrijke per-invoerder beoordelingen (uit de TIA):
- Stripe: niet aangewezen als Electronic Communication Service Provider onder FISA 702 (het is een betalingsverwerker onder de Bank Secrecy Act). Risico LAAG. DPF + SCCs voldoende. - Resend: e-mailservice — zou mogelijk als ECSP geclassificeerd kunnen worden, maar volume is klein + inhoud is transactioneel (geen marketing, geen targeting). Risico LAAG met aanvullende maatregelen. - Google: historisch genoemd in FISA 702-richtlijnen. Maatregel: we sturen alleen SHA-256-gehashte identifiers + klik-ID's + transactiewaarden — onomkeerbaar zonder leesbare tekst, pseudoniem, geaggregeerd. Consent Mode v2 bijgevoegd bij elke upload. Netto: DPF + SCCs + pseudonimisering = "in wezen gelijkwaardige bescherming". - PostHog: ingestie op EU-servers; alleen operationele ondersteuning (debuggen, piketdienst) kan de VS passeren. Uitsluitend pseudonieme ID's. Netto: DPF + SCCs + EU-ingestiejurisdictie = adequaat. - Cloudflare: mogelijk geclassificeerd als ECSP voor FISA 702 (CDN-rol). Maatregel: dataminimalisatie (alleen IP + pad + statuscode, geen inhoud). Transparantierapporten tonen ~0 FISA-orders voor niet-VS-kleinvolumeigenschappen. Netto: DPF + SCCs + edge-minimalisatie adequaat.
Nieuw subverwerkerproces (Art. 28(2)): de Gebruiksvoorwaarden van Clozo verlenen algemene toestemming om subverwerkers te gebruiken. Wanneer we een nieuwe toevoegen:
1. Bijwerken van de subverwerkers-lijst in dit artikel + RoPA.md + Privacybeleid s5/s6.
2. Alle bestaande klanten minimaal 30 dagen van tevoren informeren via e-mail.
3. Het 30-dagenvenster is uw bezwaartermijn — als u bezwaar maakt op legitieme gronden, kunt u het contract beëindigen met terugbetaling van vooruitbetaalde vergoedingen.
4. Het veld recipients van de relevante ProcessingActivity-rij bijwerken in productie.
Troubleshooting
Keep reading
Compliance
GDPR: what Clozo stores about you, why, and for how long
Clozo runs 13 distinct processing activities under GDPR Art. 30. Each one has a documented purpose, a lawful basis under Art. 6(1), a recipient list, and a retention window. This article is the user-facing summary of our Records of Processing Activities.
Compliance
Data-subject requests: how clients exercise GDPR rights and what you must do
Articles 15–22 GDPR give your clients the right to access, correct, port, or erase the personal data you hold about them. As a controller of *your* clients' data, you have one month to respond. Clozo's tooling helps you answer each request efficiently.