Privacyverklaring en cookiebeleid

Wat is een verwerkersovereenkomst met je websitebouwer en wanneer heb je die nodig?

Eva de Vries Eva de Vries
· · 9 min leestijd

Stel je voor: je bent eindelijk zover. Je gloednieuwe website staat online, strakker dan ooit.

Inhoudsopgave
  1. De hoofdrolspelers: Wie is wie?
  2. Wanneer is die overeenkomst verplicht?
  3. Wie is er verantwoordelijk voor het opstellen?
  4. Wat moet er in staan? De checklist
  5. Het praktische voorbeeld: Jij en je webdesigner
  6. Conclusie: Regelen, niet negeren
  7. Veelgestelde vragen

Je hebt een gave websitebouwer gevonden, misschien wel via een platform als YoungCapital of gewoon een lokale held. Je bent blij. Maar dan komt er een term voorbij die klinkt als een saai bureaucratisch monster: de verwerkersovereenkomst. Voordat je denkt "dat doe ik later wel" of "dat is toch alleen voor de grote jongens zoals Google en Meta", even stilstaan. Want die ene handtekening kan je een hoop gedoe schelen.

De Algemene Verordening Gegevensbescherming (AVG) is streng, en ja, die regels gelden ook voor jou en je websitebouwer. Een verwerkersovereenkomst is niet spannend, maar wel essentieel.

Laten we dit even lekker simpel uitleggen, zonder ingewikkelde juridische taal. Want je wilt weten wat het is, wanneer je het nodig hebt en hoe je het regelt.

De hoofdrolspelers: Wie is wie?

Voordat we duiken in de overeenkomst zelf, moet je even weten wie welke pet op heeft. In de wereld van de AVG spelen er twee hoofdrolspelers:

Deze titel klinkt zwaarder dan het is. De verwerkingsverantwoordelijke is simpelweg de baas over de data. Jij bepaalt waarom en hoe de persoonsgegevens worden verzameld.

De verwerkingsverantwoordelijke (dat ben jij!)

Als jij een webshop runt en klantnamen en adressen verzamelt, ben jij de verantwoordelijke.

Jij bepaalt het doel: "Ik wil deze adressen gebruiken om pakketjes te versturen." Jij bent de eindverantwoordelijke voor de naleving van de AVG. Je bent de 'eigenaar' van de data. De verwerker is de partij die in opdracht van jou de gegevens verwerkt.

De verwerker (je websitebouwer)

Je websitebouwer is hier een perfect voorbeeld van. Hij of zij bouwt de site, zet de contactformulieren in elkaar en beheert de database.

De verwerker bepaalt niet het doel; die voert jouw instructies uit. Denk ook aan hostingpartijen of een e-mailmarketingtool zoals Mailchimp.

Zij mogen de data alleen gebruiken voor het doel dat jij hebt vastgelegd.

Wanneer is die overeenkomst verplicht?

Hier gaat het vaak mis. Veel ondernemers denken: "Mijn websitebouwer is een freelancer, die hoeft toch geen contract te tekenen?" Fout. Volgens de AVG (Artikel 28) is een schriftelijke verwerkersovereenkomst verplicht zodra een verwerker persoonsgegevens verwerkt voor een verantwoordelijke.

Wanneer speelt dit bij een website? Heel vaak! Kortom: zodra er persoonsgegevens op je site staan en een derde partij (bouwer, hoster) daar toegang toe heeft, is een verwerkersovereenkomst nodig.

  • Als je een contactformulier hebt waar mensen hun naam, email of telefoonnummer invullen.
  • Als je een webshop hebt met klantgegevens.
  • Als je een inschrijving voor een nieuwsbrief faciliteert.
  • Als je analytics gebruikt die persoonsgegevens verwerkt (hoewel Google Analytics vaak als 'verwerkingsverantwoordelijke' wordt gezien, hangt het af van de instellingen).

Zonder deze overeenkomst loop je het risico op een boete van de Autoriteit Persoonsgegevens (AP). En dat wil je niet.

Wie is er verantwoordelijk voor het opstellen?

De wet zegt dat de verwerkingsverantwoordelijke (jij) ervoor moet zorgen dat er een overeenkomst is. In de praktijk is het vaak zo dat de websitebouwer al een standaard verwerkersovereenkomst klaarliggen heeft.

Dat is handig, want die weten vaak precies wat erin moet staan.

Maar let op: het feit dat de bouwer het document aanlevert, betekent niet dat jij er blind op kunt vertrouwen. Jij bent en blijft eindverantwoordelijk. Jij moet controleren of de afspraken kloppen.

Is de inhoud compleet? Sluit het aan bij wat jij doet? De verantwoordelijkheid ligt bij beide partijen, maar de plicht om het te regelen ligt bij jou als opdrachtgever.

Wat moet er in staan? De checklist

Een verwerkersovereenkomst klinkt formeel, maar het is eigenlijk gewoon een lijst met duidelijke afspraken. Het hoeft geen onleesbaar juridisch ramboek te zijn.

1. De aard van de verwerking

Hier zijn de belangrijkste punten die erin moeten staan (en die je websitebouwer moet begrijpen):

2. Instructies en geheimhouding

Wat gaat de bouwer precies doen? Dit is de basis. Bij een websitebouwer gaat het meestal om het bouwen, onderhouden en hosten van de website.

3. Beveiligingsmaatregelen

Je moet duidelijk omschrijven welke persoonsgegevens er verwerkt worden (bijvoorbeeld namen, e-mailadressen, IP-adressen) en voor welk doel (bijvoorbeeld contact opnemen of een bestelling verwerken). Gebruik hiervoor een privacyverklaring voorbeeld voor een kleine Nederlandse webshop als basis. De verwerker mag nooit op eigen houtje met je data aan de slag. Alles wat de websitebouwer doet, moet volgens jouw instructies gebeuren. Daarnaast is er een geheimhoudingsplicht.

  • SSL-certificaten (die heb je sowieso nodig).
  • Firewalls en toegangscontroles.
  • Regelmatige updates van software (zoals WordPress plugins).
  • Back-ups.

De bouwer (en eventuele hulpen) mogen de klantgegevens niet zomaar delen met derden of voor hun eigen marketing gebruiken.

4. Subverwerkers (de onderaannemers)

Dit is cruciaal. Je websitebouwer moet passende technische maatregelen nemen. Denk aan:

De bouwer moet kunnen uitleggen hoe hij de data beveiligt tegen verlies of diefstal. Je websitebouwer werkt waarschijnlijk niet alleen. Misschien huurt hij een externe server in of gebruikt hij een specifieke cloud-dienst. Dit zijn subverwerkers.

5. Jouw privacyrechten (en die van je bezoekers)

De regel is simpel: de websitebouwer mag geen subverwerkers inschakelen zonder jouw voorafgaande schriftelijke toestemming.

Wel moet de bouwer zelf ook een contract met die subverwerker hebben die gelijkwaardige waarborgen biedt. Stel, een bezoeker van je site wil weten welke gegevens jij van hem hebt (inzagerecht) of wil dat je alles verwijdert (recht op vergetelheid). Jij moet dit kunnen uitvoeren.

6. Datalekken melden

De verwerkersovereenkomst moet vastleggen dat de websitebouwer jou hierbij helpt. Hij moet bijvoorbeeld kunnen aangeven waar de data staat en hoe hij het kan verwijderen.

Als er iets misgaat, moet het snel gaan. Als de website gehackt wordt en er zijn gegevens gelekt, moet de websitebouwer jou daar onverwijld over informeren.

7. Einde van de samenwerking

Meestal binnen 72 uur. De overeenkomst moet dit proces helder beschrijven. Wat gebeurt er als je stopt met de websitebouwer?

De data blijft van jou. De overeenkomst moet regelen dat de bouwer alle persoonsgegevens retourneert of definitief verwijdert uit zijn systemen. Je wilt niet dat jouw klantdata jarenlang op een server blijft rondslingeren bij een ex-bouwer. Zorg daarom ook voor een goed privacyverklaring voorbeeld voor ZZP'ers om je eigen verwerkingen transparant te maken.

Het praktische voorbeeld: Jij en je webdesigner

Laten we het concreet maken. Je huurt een freelance webdesigner in om een WordPress-site te bouwen voor je kledingwinkel.

De designer maakt een contactformulier en een nieuwsbrief-inschrijving. Zonder verwerkersovereenkomst mag deze designer eigenlijk geen toegang krijgen tot die gegevens (want je riskeert datalekken), maar in de praktijk is het onmogelijk om een site te bouwen zonder die toegang. Daarom is de overeenkomst nodig. In de overeenkomst leg je vast dat de designer de klantdata alleen gebruikt voor het testen van het formulier en het oplossen van bugs.

Hij mag die data niet gebruiken om zelf mailinglijsten te kopen of te analyseren. Zodra de site live is en de testdata is gewist, is de taak van de designer voltooid.

Let op: ook als je een site bouwt via een platform zoals Wix of Squarespace, zijn er vaak standaardvoorwaarden.

Lees deze goed door. Vaak zijn deze partijen zelf 'verantwoordelijke', maar als jij een externe bouwer inschakelt die achter de schermen werkt, geldt alsnog de verplichting.

Conclusie: Regelen, niet negeren

Een verwerkersovereenkomst met je websitebouwer is geen optie, het is een must.

Het beschermt niet alleen je klanten, maar ook jezelf. Het zorgt voor duidelijkheid over wie wat doet met data. Het goede nieuws: het is vaak een standaard document. Vraag je bouwer erom. Lees het door. Weet je trouwens ook wat het verschil is tussen een privacyverklaring en een cookieverklaring?

Check of de bovengenoemde punten erin staan. En teken het voordat de bouwer begint met bouwen.

Zo voorkom je gedoe achteraf en voldoe je moeiteloos aan de AVG.

En dat geeft je de rust om je te concentreren op wat echt belangrijk is: je bedrijf laten groeien.

Veelgestelde vragen

Moet ik als kleine ondernemer altijd een verwerkersovereenkomst tekenen?

Nee, je hoeft geen verwerkersovereenkomst te tekenen als je alleen gebruik maakt van een websitebouwer voor de basisfunctionaliteit van je website. Echter, zodra je contactformulieren, webshops of nieuwsbrieven op je site hebt staan en een derde partij toegang heeft tot de persoonsgegevens, is een verwerkersovereenkomst verplicht om te voldoen aan de AVG.

Wanneer is een verwerkersovereenkomst echt nodig voor mijn website?

Een verwerkersovereenkomst is essentieel wanneer een derde partij, zoals je websitebouwer, persoonsgegevens verwerkt namens jou. Dit geldt bijvoorbeeld als je een contactformulier hebt, een webshop runt of een nieuwsbrief aanbiedt, omdat deze activiteiten leiden tot het verzamelen van klantgegevens. Zorg ervoor dat je de dataverwerking duidelijk definieert.

Wat gebeurt er als ik de AVG niet naleef en geen verwerkersovereenkomst heb?

Als je de AVG niet naleeft en geen verwerkersovereenkomst hebt met je websitebouwer, kan de Autoriteit Persoonsgegevens (AP) sancties opleggen, variërend van een boete tot een verwerkingsverbod. Het is daarom cruciaal om te zorgen voor een correcte afbakening van verantwoordelijkheden en beveiliging.

Waarom is het zo belangrijk om een verwerkersovereenkomst te hebben?

Een verwerkersovereenkomst zorgt ervoor dat je websitebouwer de persoonsgegevens uitsluitend mag gebruiken voor de doelen die jij hebt vastgesteld. Daarnaast leg je belangrijke afspraken vast over beveiliging en de bescherming van de data, waardoor je voldoet aan de eisen van de AVG.

Wie is verantwoordelijk voor het opstellen van een verwerkersovereenkomst?

Hoewel de verwerkingsverantwoordelijke vaak het initiatief neemt, is het belangrijk dat jij als eigenaar altijd de eindverantwoordelijkheid draagt voor de verwerking van de persoonsgegevens. Zorg ervoor dat de verwerkersovereenkomst duidelijk definieert wie verantwoordelijk is voor welke aspecten van de dataverwerking.

Lees ook
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026? Hoe schrijf je een privacyverklaring in begrijpelijke taal die ook AVG-proof is? Privacyverklaring voorbeeld voor een kleine Nederlandse webshop Privacyverklaring voorbeeld voor een ZZP'er die klantgegevens verwerkt Privacyverklaring voorbeeld voor een coach of therapeut in de zorgsector Privacyverklaring voorbeeld voor een lokaal horecabedrijf met reserveringssysteem
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Privacyverklaring en cookiebeleid

Bekijk alle 32 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026?
Lees verder →