Waarom een verwerkersovereenkomst met je hostingprovider onmisbaar is
Als je website persoonsgegevens verwerkt, ben je volgens de AVG verplicht om een verwerkersovereenkomst te sluiten met je hostingprovider. Je hostingpartij is namelijk bijna altijd een verwerker, omdat zij jouw website en database hosten waarin klantgegevens, contactformulieren of bestelgegevens staan. Zonder duidelijke afspraken loop je een hoger risico op datalekken, onduidelijkheid bij incidenten en mogelijke boetes van de Autoriteit Persoonsgegevens.
Bij PC Patrol merken we in de praktijk dat veel organisaties wel nadenken over hun privacyverklaring maar vergeten om hun hostingcontract juridisch en technisch AVG proof te maken. Een goede verwerkersovereenkomst legt precies vast wie waarvoor verantwoordelijk is en hoe de hostingprovider jouw data beschermt.
Wat minimaal in een verwerkersovereenkomst met je hostingprovider moet staan
De AVG geeft vrij concreet aan welke onderdelen verplicht zijn in een verwerkersovereenkomst. Het gaat niet alleen om juridische clausules, maar ook om praktische en technische afspraken. Zorg er daarom voor dat je de tekst van de overeenkomst altijd naast de daadwerkelijke hostingomgeving legt en controleert of wat op papier staat ook is ingericht op de server.
Beschrijf om te beginnen het doel en de aard van de verwerking. Denk aan het hosten van een WordPress website, het bewaren van back-ups en het verwerken van contact- en bestelgegevens. Benoem welke soorten persoonsgegevens worden verwerkt en van welke categorieën betrokkenen, zoals klanten, nieuwsbriefabonnees of medewerkers.
Beveiligingsmaatregelen, datalekken en subverwerkers
Een cruciaal onderdeel zijn de technische en organisatorische beveiligingsmaatregelen die de hostingprovider neemt. Denk aan versleutelde verbindingen, toegangsbeheer, loggen van activiteit, firewalls en back-upbeleid. In onze eerdere blog over een disaster recovery plan voor je website en hosting laten we zien hoe belangrijk het is dat back-ups en herstelprocedures duidelijk geregeld zijn. De verwerkersovereenkomst moet deze punten kort en concreet vastleggen.
Daarnaast moet er een heldere procedure zijn voor het melden van datalekken. Leg vast binnen welke termijn de hostingprovider jou informeert, welke informatie minimaal wordt aangeleverd en hoe jullie samenwerken richting de toezichthouder en betrokkenen. Ook het inschakelen van subverwerkers, zoals datacenters of e-maildiensten, moet expliciet worden geregeld. Je hostingprovider mag niet zomaar andere partijen inschakelen zonder jouw toestemming of ten minste voorafgaande algemene toestemming met transparantie.
Praktische tips voor het opstellen en controleren van je overeenkomst
Begin altijd met het inventariseren welke persoonsgegevens via je website lopen en welke diensten je precies bij je hostingprovider afneemt. Zo voorkom je dat er belangrijke verwerkingen buiten de overeenkomst vallen. Vergelijk vervolgens de standaard verwerkersovereenkomst van je hostingpartij met je eigen wensen en je bestaande juridische documenten zoals je privacy statement. De documenten moeten inhoudelijk op elkaar aansluiten en elkaar niet tegenspreken.
Controleer ook of de afspraken passen bij het type hosting dat je gebruikt. Bij een gedeeld hostingpakket heb je bijvoorbeeld minder directe controle over de server dan bij een eigen Cloud VPS, waardoor je meer moet leunen op de beveiligingsmaatregelen van de provider. Spreek tot slot af hoe vaak de overeenkomst wordt geëvalueerd, bijvoorbeeld bij grote technische wijzigingen, migraties of nieuwe diensten. Zo blijft je verwerkersovereenkomst actueel en sluit deze aan op de manier waarop jouw website en hosting in de praktijk zijn ingericht.
Wanneer je de verwerkersovereenkomst moet actualiseren
Een verwerkersovereenkomst is geen document dat je eenmalig opstelt en daarna vergeet. Bij wijzigingen in je website, zoals het toevoegen van nieuwe formulieren, koppelingen met externe systemen of het overstappen op een andere hostingvorm, moet je nagaan of de bestaande afspraken nog kloppen. Verander je bijvoorbeeld van shared hosting naar managed webhosting of verplaats je data naar een andere regio, dan kan dat invloed hebben op de manier waarop persoonsgegevens worden verwerkt en beschermd.
Ook wijzigingen in wet- en regelgeving, beveiligingsstandaarden of interne processen zijn een aanleiding om de overeenkomst door te lopen. Maak daarom van privacy en beveiliging een terugkerend agendapunt binnen je organisatie. Zo zorg je ervoor dat je hostingomgeving, je juridische documenten en je dagelijkse praktijk met elkaar in lijn blijven en kun je aantonen dat je aantoonbaar AVG bewust en zorgvuldig handelt.