Verwerkersovereenkomsten leveranciers

Verwerkersovereenkomst met je websitehosting: wat moet je regelen met je hoster?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je bouwt een prachtige website. Alles draait soepel, de vormgeving is top en je bezoekers vinden hun weg.

Inhoudsopgave
  1. Waarom je deze overeenkomst niet kunt skippen
  2. De kernpunten: wat er in de overeenkomst moet staan
  3. Hoe check je of je hoster goed zit?
  4. Conclusie: regel het goed, slaap rustig

Maar achter de schermen gebeurt er van alles met hun data. Namen, e-mailadressen, misschien wel betaalgegevens. Zomaar ergens hosten is dan geen optie meer.

Je hebt een hostingprovider nodig, en een contract dat waterdicht is. Dat contract is de verwerkersovereenkomst (Voo).

Het klinkt saai, maar het is je juridische veiligheidsnet. Laten we eens kijken wat je echt moet regelen met je hoster, zonder ingewikkelde juridische taal.

Waarom je deze overeenkomst niet kunt skippen

Even heel simpel: de Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 heilig.

Als je persoonsgegevens verwerkt – en dat doe je bijna automatisch met een contactformulier of een nieuwsbrief – ben jij verantwoordelijk. Jij bepaalt wat er met die gegevens gebeurt. Je hoster is de partij die het voor je uitvoert, de verwerker. De verwerkersovereenkomst legt vast hoe die hoster met jouw data omgaat.

Zonder deze overeenkomst loop je risico. Mocht er een datalek ontstaan door een fout van de hoster, dan ben jij als eigenaar vaak nog steeds de klos bij de Autoriteit Persoonsgegevens.

De Voo schermt je af en maakt duidelijk wie wat doet. Het is geen optie, het is een must.

De kernpunten: wat er in de overeenkomst moet staan

Veel hostingproviders schotelen je een standaardcontract voor. Dat is handig, maar vaak niet voldoende voor een waterdichte Voo.

1. De exacte doelen van verwerking

Je moet specifiek zijn. Hier zijn de onderdelen die je écht scherp moet hebben. Je Voo moet glashelder maken waarom de hoster bij je data komt. “Het hosten van de website” is te vaag. Wees specifiek.

Gaat het om het opslaan van bestanden? Het verwerken van bestellingen in je webshop?

2. Welke data worden er precies verwerkt?

Het versturen van e-mails via je server? Of het verzamelen van analytics? Schrijf op: “De verwerker voert enkel verwerkingen uit die nodig zijn voor de dienstverlening aan [jouw websitenaam], zoals het hosten van de website en het beheren van de bijbehorende databases.”

Jij bepaalt welke gegevens de hoster mag zien. De hoster mag niet zomaar door al je bestanden gaan neuzen.

3. Beveiligingsmaatregelen: de technische kant

In de overeenkomst leg je de scope vast. Gaat het om algemene websitebestanden?

  • Encryptie van data, zowel in rust (op de server) als onderweg (via SSL).
  • Regelmatige back-ups (en hoe lang die bewaard blijven).
  • Toegangscontrole: wie mag er bij de servers?
  • Firewalls en beveiligingsscans.

Of ook om persoonsgegevens die bezoekers invullen? Geef een duidelijke omschrijving. Bijvoorbeeld: “De verwerker verwerkt alleen persoonsgegevens die worden ingevoerd via het contactformulier en de checkout-pagina van de webshop.” Zo voorkom je dat de hoster toegang claimt tot data die niet relevant is voor hun dienst. Hoe bewaakt je hoster de veiligheid?

4. Doorgifte naar landen buiten de EER

Dit is het hart van de Voo. Je wilt geen hoster die denkt dat een wachtwoord als ‘123456’ wel veilig genoeg is.

In de overeenkomst eis je concrete maatregelen. Denk aan: Standaard is hierbij de norm ISO 27001. Vraag je hoster of ze hieraan voldoen.

5. Subverwerkers: wie werkt er nog meer mee?

Zo niet, vraag dan om een alternatieve beveiligingsgarantie. Waar staan de servers van je hoster? In Nederland? In Duitsland?

Of in de Verenigde Staten? Als de data de Europese Economische Ruimte (EER) verlaat, moet er extra bescherming zijn. Veel Amerikaanse cloudpartijen vallen onder de ‘Privacy Shield’ of andere data-transfer mechanismen.

In je Voo moet staan dat als er data naar buiten de EER gaat, dit alleen gebeurt onder een passend beschermingsniveau.

Vraag je hoster expliciet: “Waar staan mijn data en welke waarborgen gelden er voor doorgifte naar derde landen?” Je hoster doet het misschien niet alleen. Ze kunnen gebruikmaken van derde partijen, zoals een datacenter in Frankrijk of een cloudprovider voor e-maildiensten. Dit zijn subverwerkers.

6. Meldplicht bij datalekken

Je moet hier toestemming voor geven, of in ieder geval weten wie het zijn. De Voo moet regelen dat je hoster je op de hoogte stelt van nieuwe subverwerkers.

Meestal is er een clausule dat je bezwaar kunt maken als een subverwerker niet betrouwbaar is.

7. Aansprakelijkheid en verzekering

Zonder deze afspraak weet je niet wie nog meer bij je data kan. Als er iets misgaat, wil je dat direct weten. De wet schrijft voor dat een datalek binnen 72 uur gemeld moet worden bij de toezichthouder. In je Voo moet staan dat je hoster jou onmiddellijk informeert zodra ze een (vermoeden van) een datalek ontdekken.

Wachten tot het weekend is er niet bij. Snelheid is cruciaal om schade te beperken.

Wie betaalt de schade als het misgaat? Een datalek kan flink in de papieren lopen (boetes, imagoschade, juridische kosten). Je Voo moet de aansprakelijkheid regelen.

Meestal is de hoster aansprakelijk voor schade die ontstaat door hun fouten, tenzij jij zelf nalatig bent geweest. Vraag ook naar de verzekeringen van de hoster.

8. Duur en beëindiging

Hebben ze een aansprakelijkheidsverzekering die dekking biedt bij datalekken? Een professionele partij heeft dit wel geregeld. Hoe lang loopt de overeenkomst?

En belangrijker: hoe zeg je op? Je wilt niet vastzitten aan een hoster die je gegevens niet goed beveiligt.

In de Voo moet staan dat je de overeenkomst kunt beëindigen als de hoster zich niet houdt aan de afspraken. Daarnaast is er de vergeten clausule: de data retour. Als je stopt bij je hoster, wat gebeurt er dan met je data?

De Voo moet regelen dat de hoster je bestanden en databases veilig aanlevert, zodat je kunt migreren naar een nieuwe partij. Niets is frustrerender dan je data kwijt te raken na een opzegging.

Hoe check je of je hoster goed zit?

Niet elke hostingprovider is even happig op uitgebreide Voo’s. Grote partijen zoals Kinsta, SiteGround of Cloudflare hebben vaak kant-en-klare verwerkersovereenkomsten die voldoen aan de AVG.

Bij kleinere, lokale hosts moet je soms zelf actiever zijn. Vraag altijd om de Voo voordat je tekent. Lees de kleine lettertjes.

Staan de bovenstaande punten erin? Zo niet, vraag dan om aanpassing.

Een professionele hoster zal hier geen probleem mee hebben; het toont aan dat jij je zaakjes op orde hebt.

Conclusie: regel het goed, slaap rustig

Een verwerkersovereenkomst voelt misschien als een formaliteit, maar het is je juridische schild. Het beschermt je bezoekers, je bedrijf en jezelf.

Door scherp te zijn op de doelen, beveiliging, subverwerkers en data-retour, zoals bij een verwerkersovereenkomst voor je e-mailmarketing, voorkom je nare verrassingen.

Kies een hostingprovider die transparant is en meewerkt aan een goede Voo. Het kost even tijd om het door te nemen, maar de rust die het geeft, is onbetaalbaar. En mocht je twijfelen over juridische details?

Schakel dan altijd een expert in. Beter een keer te veel gevraagd, dan een boete van de Autoriteit Persoonsgegevens aan je broek.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →