Hoe maak ik als webhosting reseller mijn hostingovereenkomst met mijn eigen klanten AVG proof?
Heeft iemand een goed gratis voorbeeld van een dergelijke overeenkomst?
Dien ik met mijn eigen klanten een verwerkingsovereenkomst af te sluiten?
Dien ik aan mijn eigen klanten aan te geven dat ik host als reseller? En dan ook de naam vermelden van mijn reseller?
De hostpartij waarbij ik resell heeft al met mij een verwerkingsovereenkomst afgesloten.
Graag hulp.
Ik kan nergens iets vinden op dit gebied.

Ja, je dient een verwerkingsovereenkomst te tekenen met je klanten: je zal immers persoonlijke data van hen opslaan. (Opslaan valt uitdrukkelijk onder verwerken). Je kan allicht het contract dat jij met je leverancier hebt, als model gebruiken.

Ik gebruik in de webhosting overeenkomst alleen de naam en adresgegevens, het telefoonnummer en het email adres.
Dit valt toch niet onder de verwerkingsovereenkomst?

Gaat het om het feit dat ik een email account aanmaak voor de klanten en een wachtwoord? En een hosting account met een wachtwoord?
Etc?

Het gaat erom dat jouw klanten websites neerzetten waar mogelijk data van hun klanten in staat (contactformulier, webshop account). Daar kun jij bij dus ben je verwerker :)

Wat Marin zegt :) Vandaar dat de verwerkingsovereenkomst ook de aard van de data moet vermelden, en jij je beveiliging daaraan moet aanpassen. Als je dus een klant zou hebben van 80 eur per jaar, en die zegt jouw dat die daar online patiënten gegevens gaat opslaan, moet jij ofwel de klant dat verbieden, ofwel ben je mee verantwoordelijk voor een "passende beveiliging"

Wat jullie zeggen geldt volgens mij alleen voor de daadwerkelijke webhost partij (die de webservers beheert). Maar niet voor een reseller toch?
Een reseller stelt alleen webhost zaken in. De daadwerkelijke webhost zorgt voor de verwerking van alle gegevens zoals email opslag en beveiliging, websitesoftware opslag en beveiliging, domeinregistratie, etc... en voor de overige webhost beveiliging.
Een reseller hoeft daarom mijns inziens geen extra verwerkingsovereenkomst te hebben met haar klanten. Wel heb ik zelf met de daadwerkelijk webhost partij een verwerkingsovereenkomst.
Of zie ik dit verkeerd?

Je hebt letterlijk antwoord gekregen dat het wel nodig is. Ook iemand die reseller van jou zou zijn, moet zowel met jou als zijn klanten een overeenkomst hebben.

Je kan het niet zo maar even doorschuiven.

Ik heb met mijn eigen klanten al een hostingovereenkomst maar deze moet dus uitgebreid worden met een verwerkingsovereenkomst?

Ik heb met mijn eigen klanten al een hostingovereenkomst maar deze moet dus uitgebreid worden met een verwerkingsovereenkomst?Een hostingovereenkomst is iets heel anders, dus ja.

Nu weet ik waar ik aan toe ben. Dank je wel!

Heeft iemand een goede AVG proof hosting overeenkomst voor mij als reseller? Dan kan ik deze als uitgangspunt nemen en indien nodig mijn huidige hostingovereenkomst aanpassen. Dien je in de hosting overeenkomst te vermelden bij welk bedrijf je hosting reseller bent?

Iedere situatie is anders. Ik zou je willen aanraden te zoeken naar een jurist die je van informatie (en daarna ook de AVG zaken) kan voorzien. Doorgaans trek je het niet even uit een la.

Iedere situatie is anders. Ik zou je willen aanraden te zoeken naar een jurist die je van informatie (en daarna ook de AVG zaken) kan voorzien. Doorgaans trek je het niet even uit een la.

Ik ben het met Ramon eens, het is iets waar je goed over na moet denken. Er zijn op het internet uiteraard wel modelovereenkomsten voor je verwerkersovereenkomst te vinden of verwerkersovereenkomsten van andere bedrijven, maar dat sluit nooit volledig aan op je situatie die jij hebt als reseller met je klanten.


Als je dus een klant zou hebben van 80 eur per jaar, en die zegt jouw dat die daar online patiënten gegevens gaat opslaan, moet jij ofwel de klant dat verbieden, ofwel ben je mee verantwoordelijk voor een "passende beveiliging"

Even hierop doorgaand, stel je hebt een keer een datalek door een hack van een site of van een hele server en je zegt passende beveiliging te hebben in je verwerkersovereenkomst en je verwerkt patiëntgegevens dan kan je best wel een leuke boete van de Autoriteit Persoonsgegevens verwachten

Je mag trouwens het overgrote deel van die punten in je gewone hostingovereenkomst duwen. De GDPR eist niet dat het een "afzonderlijke" overeenkomst is. Wel moet je het doen voor alle klanten, niet enkel die van voor 25 mei.

Wat ik wel op een afzonderlijk document (bv de bestelbon) zou zetten de aard van de gegevens ("CRM", "emailadressen nieuwsbrief en contactformulier", "ledendatabank", "medische gegevens", ...)