Wie is er verantwoordelijk als een van de door het bureau ontwikkelde websites een boete ontvangt wegens een overtreding van de AVG? Dient het ontwikkelende bureau in dat geval de AVG-boete te betalen?

⚖️ Wie is juridisch verantwoordelijk volgens de AVG?

• De eigenaar van de website (de opdrachtgever) is in principe de verwerkingsverantwoordelijke.
  
  Dat betekent:
  • Zij bepalen het doel en de middelen van de gegevensverwerking.
  • Zij zijn juridisch aansprakelijk voor het naleven van de AVG.
  • Zij ontvangen de boete als de Autoriteit Persoonsgegevens handhaaft.
    
• Het bureau (de ontwikkelaar) is meestal een verwerker:

• Zij voeren de verwerking uit in opdracht van de eigenaar.
• Ze zijn verplicht om een verwerkersovereenkomst te hebben.
• Ze kunnen aansprakelijk zijn bij fouten of nalatigheid, afhankelijk van de contractuele afspraken.

🧾 Wanneer kan het bureau tóch aansprakelijk zijn?

• Als het bureau zonder toestemming cookies plaatst of scripts implementeert die in strijd zijn met de AVG.
• Als er geen verwerkersovereenkomst is en de rollen niet duidelijk zijn vastgelegd.
• Als het bureau bewust onjuiste of onveilige oplossingen levert (bijv. cookiebanners die geen toestemming vragen).
• Als de opdrachtgever kan aantonen dat de fout door het bureau is veroorzaakt en dit contractueel is vastgelegd.

✅ Wat kun je doen als bureau?

• Zorg voor een duidelijke verwerkersovereenkomst.
• Informeer je klanten actief over hun AVG-verplichtingen
• Lever standaardoplossingen die AVG-proof zijn (zoals correcte cookiebanners en privacyverklaringen).
• Documenteer je keuzes en implementaties, zodat je kunt aantonen dat je zorgvuldig hebt gehandeld.