Als websitedesigner ontwerp en bouw je websites. Misschien maak je gebruik van WordPress of codeer je de website from scratch. Sommige websitedesigners kiezen er daarnaast ook voor om ook het onderhoud en / of de hosting op zich te nemen. Van de AVG (ja, die privacywetgeving) heb je natuurlijk wel eens gehoord, maar wat voor concrete gevolgen dat nou voor jouw bedrijfsvoering hebt, weet je niet precies. En dat is best een beetje vervelend, want het is toch een stuk fijner ondernemen als je ‘weet hoe het zit’. Momenteel zit je met de volgende brandende vraag: “Heb ik als websitedesigner een verwerkersovereenkomst nodig?”.
In deze blog leggen onze juristen het je uit.
Wat is een verwerkersovereenkomst?
Als een bedrijf (of organisatie) een derde partij inschakelt om persooonsgegevens voor hem te verwerken, zal er tussen dit bedrijf (de verwerkingsverantwoordelijke) en de derde partij (de verwerker) een verwerkersovereenkomst moeten worden gesloten.
Een verwerkersovereenkomst is een juridisch document waarin de verwerker en de verantwoordelijke hun afspraken vastleggen waaronder de verantwoordelijke persoonsgegevens laat verwerken door een andere partij (i.e. de verwerker).
De verwerkersovereenkomst gaat dus over het verwerken van persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Informatie over een bedrijf is dan ook geen persoonsgegeven volgens de verordening. Hieronder zie je een aantal voorbeelden van (niet-)persoonsgegevens:
Wel een persoonsgegeven | Niet een persoonsgegeven |
Adresgegevens van een natuurlijk persoon | Vestigingsadres van een B.V. |
IP-adres | KvK-nummer/Handelsregisternummer van een B.V. |
Geboortedatum | Gegevens van overleden personen |
Bankrekeningnummer | Geanonimiseerde gegevens |
Een persoonlijk e-mailadres ([email protected]) | Een zakelijk e-mailadres dat niet gelinkt is aan een persoon ([email protected]) |
Er zijn dus twee partijen, namelijk de verantwoordelijke (dat is de partij die bepaalt wat er moet gebeuren met de gegevens en hoe dit moet gebeuren) en de verwerker (dat is de partij die de verwerking in opdracht van de verantwoordelijke uitvoert). Het is wettelijk verplicht om samen afspraken te maken in een verwerkersovereenkomst.
Tip: de verwerker mag echt alleen handelen in opdracht van de verantwoordelijke! Ben jij verwerker maar besluit je zelf de doelenen middelen te bepalen voor de verwerking? Dan word jij verwerkingsverantwoordelijke. Let hier dus altijd goed op.
Verwerkersovereenkomst is verplicht
Zowel op de verantwoordelijke, als de verwerker, rust de verplichting om in een verwerkersovereenkomst afspraken te maken over de bescherming van de gegevens die verwerkt worden. Als de hostingpartij van jouw webshop geen verwerkersovereenkomst aanbiedt, zul je dus zelf het initiatief moeten nemen om een verwerkersovereenkomst te sluiten met jouw hostingpartij.
Ben ik verwerker of verwerkingsverantwoordelijke?
Soms is het lastig om te bepalen of iemand een verwerker of verantwoordelijke is. In onderstaande tabel hebben wij een aantal situaties opgenomen om het onderscheid nog een stukje duidelijker voor je te maken.
Situatie | Verwerker | Uitleg |
Jij maakt gebruik van een clouddienst om gegevens van klanten in op te slaan. | Dat is de clouddienst. Jij bent de verantwoordelijke. |
De clouddienst slaat de gegevens van jouw klanten op, omdat jij hiertoe opdracht hebt gegeven. Een verwerkersovereenkomst is vereist. |
Jij wilt jouw nieuwsbrief opmaken en versturen via een derde partij (MailChimp bijvoorbeeld). | Dat is de derde partij (MailChimp). Jij bent de verantwoordelijke. | Jij geeft aan de derde partij de opdracht om gegevens te verwerken (denk maar aan het opslaan van e-mailadressen). Een verwerkersovereenkomst is vereist. |
Als zzp’er word je ingeschakeld om tijdelijk de werkzaamheden over te nemen van een zieke vaste werknemer. Jij werkt binnen de beveiligde (online) werkomgeving van de opdrachtgever en hebt een geheimhoudingsovereenkomst getekend. | Die is er niet! Een verwerkersovereenkomst is niet nodig. Opdrachtgever is de verantwoordelijke. | Jij valt onder het rechtstreekse gezag van jouw opdrachtgever. Je maakt namelijk voor eventjes “onderdeel uit van de organisatie van jouw opdrachtgever” en dus is er sprake van intern beheer. Dit is een uitzondering, zodat een verwerkersovereenkomst niet nodig is. |
Jouw website wordt gehost door een derde partij (Vimexx bijvoorbeeld). | Dat is de hostingpartij. Jij bent de verantwoordelijke. | Persoonsgegevens van jouw websitebezoekers (bijvoorbeeld een naam en e-mailadres dat iemand in het contactformulier op de website invult) worden opgeslagen op de servers van jouw hostingpartij. Jij hebt deze hostingpartij opdracht gegeven om de gegevens te verwerken. Een verwerkersovereenkomst is vereist. |
Als websitedesigner persoonsgegevens verwerken
Als webdesigner word je door jouw opdrachtgever(s) ingeschakeld om een website te maken, het onderhoud van de website te doen, de hosting te regelen, enzovoorts. Om te beoordelen of jij in dit verband als verwerker optreedt (en er dus een verwerkersovereenkomst nodig is), moeten we erachter komen in hoeverre jij toegang hebt tot persoonsgegevens. Qua persoonsgegevens kan je denken aan de gegevens die websitebezoekers achterlaten wanneer ze een contactformulier invullen, klantgegevens, betaalgegevens (vooral bij webshops relevant), enzovoorts.
Wanneer je het onderhoud van websites op je neemt, heb je hoogstwaarschijnlijk toegang tot persoonsgegevens. Zo zou je in het WordPress-account van jouw opdrachtgever de ingevulde contactformulieren kunnen inzien. Regel je de hosting? Ook dan heb je toegang tot de persoonsgegevens die op de desbetreffende server worden opgeslagen. Er zijn natuurlijk nog meer situaties voor te stellen waarin jij als websitedesigner toegang zou kunnen hebben tot persoonsgegevens, maar je begrijpt het idee.
Conclusie: als websitedesigner is de kans groot dat je persoonsgegevens gaat verwerken en zul je een verwerkersovereenkomst moeten sluiten met jouw opdrachtgevers.
Vragen over de verwerkersovereenkomst?
Weet je nog steeds niet of je nou wel of niet een verwerkersovereenkomst moet sluiten? Neem dan gerust contact met ons op. Natuurlijk kunnen wij ook de verwerkersovereenkomst voor je opstellen. Wist je trouwens dat je een verwerkersovereenkomst ook als bijlage aan jouw algemene voorwaarden mag vastplakken? Wel zo prettig (weer een contract minder waarmee je jouw opdrachtgevers hoeft lastig te vallen)!