Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 6 april 2026 schedule 4 min leestijd

Bedrijfspagina op Social Media: Wat Zegt de GDPR?

Heb je een bedrijfspagina op Facebook, Instagram of LinkedIn? Dan ben je gezamenlijk verwerkingsverantwoordelijke met het platform voor bezoekersdata. Lees wat dit betekent en wat je moet doen.

summarize Kernpunten
  • check_circle Als beheerder van een bedrijfspagina ben je gezamenlijk verwerkingsverantwoordelijke met het platform voor bezoekersdata
  • check_circle Dit is bevestigd door het Europees Hof van Justitie in het Wirtschaftsakademie-arrest (2018)
  • check_circle Je moet privacy-informatie toevoegen aan je bedrijfspagina en je bewust zijn van de Insights-data die het platform verzamelt
  • check_circle Je kunt je verantwoordelijkheid niet ontlopen door te zeggen dat het platform alles regelt

Een bedrijfspagina is een verwerking

Je hebt een pagina op Facebook, Instagram of LinkedIn. Logisch, want daar zitten je klanten. Maar wat veel ondernemers niet weten: door het aanmaken en beheren van die bedrijfspagina ben je medeverantwoordelijk voor de persoonsgegevens die het platform verzamelt van je bezoekers.

De GDPR (in Nederland en Belgie ook AVG genoemd) is hier duidelijk over, en het Europees Hof van Justitie heeft het in 2018 nog eens bevestigd.

Het Wirtschaftsakademie-arrest

In juni 2018 oordeelde het Europees Hof van Justitie in de zaak Wirtschaftsakademie Schleswig-Holstein (C-210/16) dat de beheerder van een Facebook-bedrijfspagina gezamenlijk verwerkingsverantwoordelijke is met Facebook voor de verwerking van persoonsgegevens van bezoekers.

Waarom? Omdat je als paginabeheerder:

  • Bewust een platform kiest dat persoonsgegevens verwerkt om statistieken te genereren
  • Parameters instelt die bepalen welke gegevens worden verzameld (doelgroep, demografische filters)
  • Voordeel haalt uit de statistieken (Insights) die het platform levert over je bezoekers
  • Invloed hebt op de verwerking door je pagina aan te maken en in te richten

Het feit dat je technisch geen toegang hebt tot de ruwe persoonsgegevens doet er niet toe. Je profiteert ervan en je hebt de verwerking mede in gang gezet.

Wat betekent “gezamenlijk verwerkingsverantwoordelijke”?

Artikel 26 van de GDPR bepaalt dat gezamenlijke verwerkingsverantwoordelijken onderling moeten afspreken wie welke GDPR-verplichtingen nakomt. De grote platforms hebben daar documenten voor opgesteld:

  • Facebook/Instagram (Meta): Page Insights Controller Addendum
  • LinkedIn: Joint Controller Addendum voor Page Insights

Deze documenten leggen het grootste deel van de operationele verantwoordelijkheid bij het platform. Maar ze ontslaan jou niet volledig. Je blijft als paginabeheerder verplicht om:

  1. Bezoekers te informeren over de gegevensverwerking
  2. De verwerking op te nemen in je verwerkingsregister
  3. Een rechtsgrond te hebben voor je deel van de verwerking

Wat moet je praktisch doen?

1. Privacy-informatie op je pagina

Voeg op je bedrijfspagina informatie toe over de verwerking van persoonsgegevens. Op Facebook kun je dit doen in het “Info”-gedeelte of via een link naar je privacyverklaring. Op LinkedIn kun je een link naar je privacyverklaring opnemen in het bedrijfsprofiel.

Vermeld ten minste:

  • Dat je gezamenlijk verwerkingsverantwoordelijke bent met het platform
  • Waar bezoekers je privacyverklaring kunnen vinden
  • Hoe bezoekers contact kunnen opnemen voor vragen over hun privacy

2. Verwerkingsregister bijwerken

Neem je sociale-media-bedrijfspagina’s op in je verwerkingsregister. Per pagina:

  • Doel: bedrijfscommunicatie, marketing, klantenservice
  • Categorieen gegevens: bezoekersstatistieken, interactiegegevens, berichten
  • Rechtsgrond: gerechtvaardigd belang (bedrijfscommunicatie en marketing)
  • Gezamenlijke verantwoordelijke: Meta / LinkedIn / platform
  • Verwijzing naar het Controller Addendum van het platform

3. Privacyverklaring aanpassen

Vermeld in je algemene privacyverklaring dat je bedrijfspagina’s op sociale media beheert en dat je daarvoor gezamenlijk verwerkingsverantwoordelijke bent met het platform. Verwijs naar het privacybeleid van het platform voor de details van hun verwerking.

4. Wees bewust met Insights

De Insights-data die je ontvangt zijn geanonimiseerd of geaggregeerd, je ziet geen individuele profielen. Maar het feit dat het platform die statistieken genereert op basis van persoonsgegevens maakt jou medeverantwoordelijk. Wees je daarvan bewust en gebruik Insights-data niet voor doeleinden die je niet in je verwerkingsregister hebt opgenomen.

Veelgemaakte fouten

  • Geen privacy-informatie op de bedrijfspagina
  • De bedrijfspagina niet opnemen in het verwerkingsregister
  • Denken dat het platform alles regelt - het platform regelt zijn eigen verplichtingen, maar niet de jouwe
  • Berichten van klanten via social media niet behandelen als verwerking van persoonsgegevens - als een klant je een privebericht stuurt met persoonlijke informatie, verwerk je persoonsgegevens

Geen reden tot paniek

Een bedrijfspagina op sociale media is geen probleem zolang je je verplichtingen kent. Je hoeft je pagina niet te verwijderen. Je hoeft geen ingewikkelde contracten op te stellen, want de platforms hebben de addenda al klaar. Je moet vooral zorgen dat je transparant bent naar je bezoekers en dat je verwerkingsregister compleet is.

auto_awesome Je verwerkingsregister op orde?

GDPRWise helpt je al je verwerkingen te documenteren, inclusief je sociale-media-pagina's. Compleet verwerkingsregister, automatisch gegenereerd.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.