Customer Impact

Website & Development

Verwerkersovereenkomst met je webbureau: waarom je die nodig hebt

TDK Tanguy De Keyzer Tanguy De Keyzer Oprichter & digitale strateeg · 27 juni 2026 · ◷ 6 min leestijd

Ja, je hebt een verwerkersovereenkomst met je webbureau nodig zodra dat bureau bij de persoonsgegevens van jouw bezoekers, leads of klanten kan komen. Dat is bijna altijd het geval: contactformulieren, een CRM-koppeling, hosting, analytics of gewoon toegang tot je CMS. De GDPR verplicht je dan om de afspraken schriftelijk vast te leggen. In dit artikel lees je wie precies wat is, waarom die overeenkomst er moet zijn, wat erin hoort en hoe je het in de praktijk regelt zonder dat het een papierberg wordt.

Wat is een verwerkersovereenkomst en wie is wie?

Een verwerkersovereenkomst is een contract waarin je vastlegt hoe een externe partij persoonsgegevens voor jou verwerkt. In het Engels heet het een Data Processing Agreement of DPA. De afkorting komt rechtstreeks uit de GDPR (in Nederlands ook wel de AVG genoemd).

De rolverdeling is de kern. Jij bent de verwerkingsverantwoordelijke: het is jouw bedrijf dat bepaalt waarom en hoe de gegevens van je leads en klanten verwerkt worden. Je webbureau en je hostingpartij zijn de verwerker: zij verwerken die gegevens in jouw opdracht, zonder er zelf een eigen doel mee na te streven. Denk aan een webbureau dat je formulierinzendingen beheert of een host die je database op zijn servers bewaart.

Dat onderscheid is belangrijk, want de wet legt de eindverantwoordelijkheid bij jou als opdrachtgever. Jij kiest de verwerker, jij geeft de instructies, en jij moet kunnen aantonen dat je het netjes geregeld hebt. De verwerkersovereenkomst is het bewijsstuk daarvan.

Waarom heb je een verwerkersovereenkomst met je webbureau nodig?

Je hebt de overeenkomst nodig omdat de GDPR het letterlijk verplicht stelt zodra een externe partij persoonsgegevens namens jou verwerkt. Artikel 28 van de GDPR schrijft voor dat die verwerking geregeld moet zijn in een overeenkomst of een ander bindend rechtsinstrument. Er is geen drempel: het maakt niet uit hoe groot je bedrijf is of hoeveel gegevens er omgaan.

In de praktijk komt een webbureau bijna altijd bij persoonsgegevens. Een paar voorbeelden:

  • Het bouwt en onderhoudt je contactformulieren, waar naam, e-mail en telefoonnummer binnenkomen.
  • Het heeft beheerderstoegang tot je CMS, waar inzendingen en gebruikersaccounts in staan.
  • Het koppelt je site aan je CRM, e-mailtool of analyticssysteem.
  • Het host je site, of regelt de hosting bij een derde partij.

In al die gevallen kan iemand bij gegevens van echte mensen. Daarmee is de verplichting er. En het is niet alleen een formaliteit: de overeenkomst beschermt vooral jou. Ze legt vast dat het bureau de gegevens enkel voor jouw doel gebruikt, ze niet doorverkoopt, en ze afdoende beveiligt. Zonder dat papier heb je geen afdwingbare afspraak en draag je het volledige risico alleen.

Dit raakt ook aan vertrouwen op je B2B-website. Klanten en prospects laten gegevens achter in de veronderstelling dat je er zorgvuldig mee omgaat. De keten netjes dichttimmeren met je leveranciers is daar een onzichtbaar maar wezenlijk deel van.

Is je hostingpartij ook een verwerker?

Ja, je host is in de regel ook een verwerker, want op zijn servers staan jouw databases, formulierinzendingen en back-ups. Daarmee kan hij technisch bij de persoonsgegevens, en dus heb je ook met je host een verwerkersovereenkomst nodig.

Grote hostingproviders hebben dit meestal standaard geregeld. Ze bieden een kant-en-klare verwerkersovereenkomst aan die je digitaal aanvaardt of die in hun algemene voorwaarden verweven zit. Toch is het verstandig om dit actief te controleren in plaats van het aan te nemen. Vraag je host of webbureau gewoon: is er een verwerkersovereenkomst, en waar kan ik die inzien?

Een aandachtspunt is waar je gegevens fysiek staan. Staan de servers binnen de Europese Economische Ruimte, dan is dat het eenvoudigst. Worden gegevens buiten de EER verwerkt, bijvoorbeeld bij een Amerikaanse cloudleverancier, dan gelden er extra regels voor die doorgifte en moeten daar passende waarborgen voor zijn. Een webbureau dat zijn zaken op orde heeft, kan je in een paar zinnen uitleggen waar je data staat en hoe dat zit.

Wat hoort er in een verwerkersovereenkomst?

Een verwerkersovereenkomst beschrijft concreet wat de verwerker met je gegevens mag doen en onder welke voorwaarden. De GDPR somt in artikel 28 een vaste set onderwerpen op die erin moeten staan. De belangrijkste:

  • Onderwerp, duur, aard en doel. Waarvoor worden de gegevens verwerkt, en hoe lang? Is het een doorlopende verwerking of eenmalig?
  • Soort gegevens en betrokkenen. Welke categorieën persoonsgegevens gaan er om (namen, e-mailadressen, IP-adressen) en over wie gaat het (leads, klanten, websitebezoekers)?
  • Verwerking alleen op jouw instructie. De verwerker mag de gegevens enkel gebruiken voor wat jij opdraagt, niet voor eigen doeleinden.
  • Geheimhouding. De medewerkers die bij de gegevens kunnen, zijn tot vertrouwelijkheid verplicht.
  • Beveiliging. Welke passende technische en organisatorische maatregelen neemt de verwerker, zoals encryptie, toegangsbeheer en back-ups?
  • Onderaannemers (subverwerkers). Mag het bureau andere partijen inschakelen, en onder welke voorwaarden? Denk aan een externe host of een e-mailtool.
  • Hulp bij verplichtingen. De verwerker helpt je om verzoeken van betrokkenen af te handelen (inzage, verwijdering) en meldt datalekken tijdig.
  • Einde van de samenwerking. Wat gebeurt er met de gegevens als het contract stopt? Worden ze teruggegeven of verwijderd?
  • Controle. De verwerker werkt mee aan audits en levert de informatie om naleving aan te tonen.

Je hoeft dit niet vanaf nul te schrijven. De meeste verwerkersovereenkomsten volgen een standaardstramien, en je webbureau of host levert doorgaans een eigen versie aan. Jouw taak is vooral om te controleren of de bovenstaande punten erin staan en of de afspraken kloppen met de realiteit, bijvoorbeeld bij welke onderaannemers je gegevens echt terechtkomen.

Wat gebeurt er als je geen verwerkersovereenkomst hebt?

Dan loop jij het risico, want als verwerkingsverantwoordelijke blijf je aansprakelijk voor wat er met de gegevens gebeurt, ook als de fout bij je leverancier ligt. Het ontbreken van een verwerkersovereenkomst is op zich al een inbreuk op de GDPR, los van de vraag of er ooit iets misgaat.

De gegevensbeschermingsautoriteit kan bij overtredingen boetes opleggen. Voor het ontbreken van een correcte verwerkersovereenkomst gaat het om de lagere boetecategorie van de GDPR, met een maximum in de orde van 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. In de praktijk zal een kmo zelden het maximum zien, maar het punt is duidelijk: het is een reëel risico en geen theorie. Bovendien is het reputatieschade die je niet wil als je net vertrouwen probeert op te bouwen bij prospects.

Praktischer nog: zonder overeenkomst heb je geen grip. Je hebt niet zwart op wit dat je leverancier de gegevens beveiligt, niet doorverkoopt of teruggeeft als je vertrekt. Op het moment dat er iets misloopt, sta je met lege handen.

Hoe regel je dit in de praktijk?

Het regelen valt mee als je het systematisch aanpakt. Een werkbare aanpak:

  1. Maak een lijst van je verwerkers. Wie komt er bij de persoonsgegevens rond je website? Typisch je webbureau, je host, je analyticstool, je e-mail- of CRM-systeem.
  2. Vraag van elke partij de verwerkersovereenkomst op. Veel leveranciers hebben er een klaarliggen. Krijg je er geen, of weet niemand waar het over gaat, dan is dat een waarschuwingssignaal.
  3. Controleer of de essentie erin staat aan de hand van de punten hierboven, met aandacht voor onderaannemers en waar je gegevens staan.
  4. Bewaar alles op één plek, zodat je het kunt tonen als de toezichthouder of een klant ernaar vraagt.

Een goed webbureau neemt hierin het voortouw en biedt de verwerkersovereenkomst uit zichzelf aan, vaak al bij de start van het websitetraject. Dat het bureau dit proactief regelt en kan uitleggen waar je data staat, is meteen een teken dat het zijn zaken op orde heeft. Twijfel je over je huidige situatie of begin je net aan een nieuw project, dan loont het om dit van bij het begin mee te nemen in je keuze van leverancier. In onze complete gids voor een B2B-website laten maken zit dit als een vanzelfsprekend onderdeel van een professioneel traject.

De korte samenvatting

Zodra je webbureau of host bij de persoonsgegevens van jouw bezoekers en leads kan, verplicht de GDPR een schriftelijke verwerkersovereenkomst. Jij bent verwerkingsverantwoordelijke en blijft eindverantwoordelijk, dus die overeenkomst beschermt vooral jezelf. Ze legt vast waarvoor de gegevens gebruikt worden, hoe ze beveiligd zijn, welke onderaannemers er meespelen en wat er bij het einde van de samenwerking gebeurt. Het goede nieuws: een degelijke leverancier regelt dit zonder dat je erom hoeft te vragen.

Wil je zeker zijn dat dit bij je website netjes geregeld is? Plan je gratis intake en we lopen het samen door.

Gratis website-scan

Geef je website in en krijg binnen enkele minuten een automatische scan met concrete technische en SEO-verbeterpunten. Geen verkooppraatje.

Waar mogen we je rapport naartoe sturen?

Je gegevens gebruiken we alleen voor je scan. Geen spam, uitschrijven kan altijd.

Gerelateerde dienst Webdesign & development →

Deel je website voor een gratis zichtbaarheidsaudit