Waarom je als IT-leverancier verantwoordelijk bent voor klantdata onder de AVG

Door /

De misvatting die veel bedrijven nog geld kan kosten

Veel IT-leveranciers – of het nu gaat om softwarebedrijven, managed service providers (MSP’s), hostingpartijen of systeembeheerders – gaan ervan uit dat de klant verantwoordelijk is voor persoonsgegevens die via hun platform of dienst worden verwerkt. Maar die aanname is juridisch onjuist én risicovol.
Onder de AVG (Algemene Verordening Gegevensbescherming) ben je als IT-dienstverlener in veel gevallen verwerker – en dat brengt serieuze verplichtingen met zich mee.

Verwerker of verantwoordelijke: hoe zit dat?

Volgens de AVG is een verwerkingsverantwoordelijke degene die het doel en de middelen van een verwerking bepaalt. De verwerker verwerkt persoonsgegevens namens deze verantwoordelijke, zonder zelf het doel van die verwerking vast te stellen.

Bijvoorbeeld:

  • Een bedrijf gebruikt jouw SaaS‑platform om klantgegevens op te slaan → jij bent verwerker.
  • Jij beheert als MSP de werkplekomgeving en back‑ups van een klant → jij bent verwerker.
  • Jij host de website van een klant waarop contactformulieren met persoonsgegevens binnenkomen → jij bent verwerker.

In al deze gevallen geldt: je bent niet eindverantwoordelijk voor de inhoud, maar wél juridisch verantwoordelijk voor de beveiliging, geheimhouding, onderaannemers en documentatie van de verwerking.

Verplichtingen van een verwerker onder de AVG

De rol van verwerker is allesbehalve vrijblijvend. Onder artikel 28 en 32 van de AVG gelden o.a. de volgende verplichtingen:

  1. Verwerkersovereenkomst (DPA): je mag géén persoonsgegevens verwerken zonder expliciete overeenkomst waarin de verwerking, het doel, de duur, de beveiliging en de rollen zijn vastgelegd.
  2. Beveiligingsmaatregelen: je moet passende technische en organisatorische maatregelen treffen (denk aan encryptie, toegangsbeheer, logging, back-ups).
  3. Subverwerkers (zoals cloudproviders): je mag deze alleen inschakelen met toestemming van de verantwoordelijke én met contractuele waarborgen.
  4. Assistentie bij datalekken: je moet de klant tijdig informeren bij een incident dat impact kan hebben op diens persoonsgegevens.
  5. Inzicht in compliance: de klant mag audits of bewijzen opvragen van jouw naleving (ISO-certificaat, ISMS, etc.).

Let op: als je als verwerker in gebreke blijft, loop je risico op sancties van de toezichthouder én aansprakelijkheid richting je klant.

Veelvoorkomende valkuilen in de praktijk

“De klant is toch verantwoordelijk, wij voeren alleen uit?”

Zodra je persoonsgegevens opslaat, verwerkt of technische toegang hebt, ben je medeverantwoordelijk voor de correcte verwerking. Dit geldt ook als je die toegang niet actief gebruikt.

“We hebben algemene voorwaarden, dat is voldoende.”

Nee. De AVG vereist een specifieke verwerkersovereenkomst per klantrelatie. Algemene voorwaarden dekken dit meestal niet of onvoldoende.

“De klant moet zelf zorgen voor veilige wachtwoorden.”

Als je als MSP of hostingprovider die toegang technisch faciliteert, dan heb je óók de plicht om maatregelen te nemen tegen misbruik – zelfs als de eindgebruiker fouten maakt.

Wat betekent dit voor jou als IT-dienstverlener?

Je moet aantoonbaar voldoen aan de AVG-verplichtingen die horen bij jouw rol als verwerker. Dat betekent onder andere:

  • Het sluiten en beheren van verwerkersovereenkomsten (DPA’s) per klant
  • Heldere documentatie over beveiligingsmaatregelen
  • Risicoanalyses uitvoeren per type dienst of infrastructuur
  • Policies opstellen over subverwerkers, logging, toegangsbeheer, bewaartermijnen
  • Beschikbaar zijn voor audits of vragen van opdrachtgevers

Hoe helpt CyScientia?

Wij ondersteunen IT-leveranciers en softwarebedrijven bij het inrichten van AVG-compliant processen. Of je nu verwerker, subverwerker of ook deels verantwoordelijke bent: wij zorgen dat je juridische en technische verplichtingen op orde zijn.

Onze diensten omvatten o.a.:

  • Opstellen of toetsen van verwerkersovereenkomsten (DPA’s)
  • Templates en contractkaders voor klantrelaties
  • AVG-documentatie voor IT‑dienstverlening (logbeleid, toegangsbeheer, retentiebeleid)
  • Privacy by Design voor SaaS-architecturen
  • Technische toetsing van beveiligingsmaatregelen en subverwerkerstructuren

Laat je rol als verwerker geen risico worden

Vraag vandaag nog onze gratis DPA-scan aan. We analyseren in 30 minuten je huidige contractpositie en wijzen op hiaten, risico’s of verbeterkansen. of mail naar

Of ontvang direct ons voorbeeld van een juridisch waterdichte verwerkersovereenkomst voor IT-dienstverleners.

Scroll naar boven