Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Heb ik als websitedesigner een verwerkersovereenkomst nodig?

Als websitedesigner ontwerp en bouw je websites. Misschien maak je gebruik van WordPress of codeer je de website from scratch. Sommige websitedesigners kiezen er daarnaast ook voor om ook het onderhoud en / of de hosting op zich te nemen. Van de AVG (ja, die privacywetgeving) heb je natuurlijk wel eens gehoord, maar wat voor concrete gevolgen dat nou voor jouw bedrijfsvoering hebt, weet je niet precies. En dat is best een beetje vervelend, want het is toch een stuk fijner ondernemen als je ‘weet hoe het zit’. Momenteel zit je met de volgende brandende vraag: “Heb ik als websitedesigner een verwerkersovereenkomst nodig?”.

In deze blog leggen onze juristen het je uit.

Wat is een verwerkersovereenkomst?

Als een bedrijf (of organisatie) een derde partij inschakelt om persooonsgegevens voor hem te verwerken, zal er tussen dit bedrijf (de verwerkingsverantwoordelijke) en de derde partij (de verwerker) een verwerkersovereenkomst moeten worden gesloten. 

Een verwerkersovereenkomst is een juridisch document waarin de verwerker en de verantwoordelijke hun afspraken vastleggen waaronder de verantwoordelijke persoonsgegevens laat verwerken door een andere partij (i.e. de verwerker).

De verwerkersovereenkomst gaat dus over het verwerken van persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Informatie over een bedrijf is dan ook geen persoonsgegeven volgens de verordening. Hieronder zie je een aantal voorbeelden van (niet-)persoonsgegevens:

Wel een persoonsgegeven Niet een persoonsgegeven
Adresgegevens van een natuurlijk persoon Vestigingsadres van een B.V. 
IP-adres KvK-nummer/Handelsregisternummer van een B.V. 
Geboortedatum  Gegevens van overleden personen 
Bankrekeningnummer Geanonimiseerde gegevens 
Een persoonlijk e-mailadres ([email protected]) Een zakelijk e-mailadres dat niet gelinkt is aan een persoon ([email protected])

Er zijn dus twee partijen, namelijk de verantwoordelijke (dat is de partij die bepaalt wat er moet gebeuren met de gegevens en hoe dit moet gebeuren) en de verwerker (dat is de partij die de verwerking in opdracht van de verantwoordelijke uitvoert). Het is wettelijk verplicht om samen afspraken te maken in een verwerkersovereenkomst. 

Tip: de verwerker mag echt alleen handelen in opdracht van de verantwoordelijke! Ben jij verwerker maar besluit je zelf de doelenen middelen te bepalen voor de verwerking? Dan word jij verwerkingsverantwoordelijke. Let hier dus altijd goed op.

Verwerkersovereenkomst is verplicht

Zowel op de verantwoordelijke, als de verwerker, rust de verplichting om in een verwerkersovereenkomst afspraken te maken over de bescherming van de gegevens die verwerkt worden. Als de hostingpartij van jouw webshop geen verwerkersovereenkomst aanbiedt, zul je dus zelf het initiatief moeten nemen om een verwerkersovereenkomst te sluiten met jouw hostingpartij. 

Ben ik verwerker of verwerkingsverantwoordelijke?

Soms is het lastig om te bepalen of iemand een verwerker of verantwoordelijke is. In onderstaande tabel hebben wij een aantal situaties opgenomen om het onderscheid nog een stukje duidelijker voor je te maken.

Situatie Verwerker Uitleg
Jij maakt gebruik van een clouddienst om gegevens van klanten in op te slaan.  Dat is de clouddienst. 
Jij bent de verantwoordelijke.
De clouddienst slaat de gegevens van jouw klanten op, omdat jij hiertoe opdracht hebt gegeven. Een verwerkersovereenkomst is vereist.
Jij wilt jouw nieuwsbrief opmaken en versturen via een derde partij (MailChimp bijvoorbeeld).  Dat is de derde partij (MailChimp). Jij bent de verantwoordelijke. Jij geeft aan de derde partij de opdracht om gegevens te verwerken (denk maar aan het opslaan van e-mailadressen). Een verwerkersovereenkomst is vereist.
Als zzp’er word je ingeschakeld om tijdelijk de werkzaamheden over te nemen van een zieke vaste werknemer. Jij werkt binnen de beveiligde (online) werkomgeving van de opdrachtgever en hebt een geheimhoudingsovereenkomst getekend.   Die is er niet! Een verwerkersovereenkomst is niet nodig. Opdrachtgever is de verantwoordelijke. Jij valt onder het rechtstreekse gezag van jouw opdrachtgever. Je maakt namelijk voor eventjes “onderdeel uit van de organisatie van jouw opdrachtgever” en dus is er sprake van intern beheer. Dit is een uitzondering, zodat een verwerkersovereenkomst niet nodig is. 
Jouw website wordt gehost door een derde partij (Vimexx bijvoorbeeld). Dat is de hostingpartij. Jij bent de verantwoordelijke. Persoonsgegevens van jouw websitebezoekers (bijvoorbeeld een naam en e-mailadres dat iemand in het contactformulier op de website invult) worden opgeslagen op de servers van jouw hostingpartij. Jij hebt deze hostingpartij opdracht gegeven om de gegevens te verwerken. Een verwerkersovereenkomst is vereist.

Als websitedesigner persoonsgegevens verwerken

Als webdesigner word je door jouw opdrachtgever(s) ingeschakeld om een website te maken, het onderhoud van de website te doen, de hosting te regelen, enzovoorts. Om te beoordelen of jij in dit verband als verwerker optreedt (en er dus een verwerkersovereenkomst nodig is), moeten we erachter komen in hoeverre jij toegang hebt tot persoonsgegevens. Qua persoonsgegevens kan je denken aan de gegevens die websitebezoekers achterlaten wanneer ze een contactformulier invullen, klantgegevens, betaalgegevens (vooral bij webshops relevant), enzovoorts.

Wanneer je het onderhoud van websites op je neemt, heb je hoogstwaarschijnlijk toegang tot persoonsgegevens. Zo zou je in het WordPress-account van jouw opdrachtgever de ingevulde contactformulieren kunnen inzien. Regel je de hosting? Ook dan heb je toegang tot de persoonsgegevens die op de desbetreffende server worden opgeslagen. Er zijn natuurlijk nog meer situaties voor te stellen waarin jij als websitedesigner toegang zou kunnen hebben tot persoonsgegevens, maar je begrijpt het idee.

Conclusie: als websitedesigner is de kans groot dat je persoonsgegevens gaat verwerken en zul je een verwerkersovereenkomst moeten sluiten met jouw opdrachtgevers.

Vragen over de verwerkersovereenkomst?

Weet je nog steeds niet of je nou wel of niet een verwerkersovereenkomst moet sluiten? Neem dan gerust contact met ons op. Natuurlijk kunnen wij ook de verwerkersovereenkomst voor je opstellen. Wist je trouwens dat je een verwerkersovereenkomst ook als bijlage aan jouw algemene voorwaarden mag vastplakken? Wel zo prettig (weer een contract minder waarmee je jouw opdrachtgevers hoeft lastig te vallen)! 

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).