Zolang alles normaal ‘draait’ is verantwoordelijkheid geen issue. Totdat er iets mis gaat..
Veel organisaties besteden hun Drupal-website uit aan een bureau of beheerpartij. Dat is logisch: Drupal is krachtig, maar vraagt onderhoud, kennis en aandacht. Toch ontstaat juist daar vaak verwarring. Wie is nu eigenlijk verantwoordelijk voor de website? De opdrachtgever, omdat het ‘hun site’ is, of het bureau, omdat zij het beheer doen?
Die vraag komt zelden op bij een goed functionerende site. Hij duikt op bij storingen, beveiligingsincidenten of achterstallige updates. Precies op het moment dat duidelijkheid juist nodig is.
Juridische verantwoordelijkheid versus praktische verantwoordelijkheid
Formeel is het antwoord eenvoudig. De eigenaar van de website is altijd verantwoordelijk. Dat geldt juridisch, organisatorisch en bestuurlijk. De website draait onder jouw naam, jouw organisatie verwerkt persoonsgegevens en jouw reputatie staat op het spel.
Maar in de praktijk ligt het genuanceerder.
Een bureau of beheerservice voert vaak taken uit die voor de opdrachtgever nauwelijks te overzien zijn: beveiligingsupdates, monitoring, serverafstemming, compatibiliteitscontroles. Daarmee verschuift de praktische verantwoordelijkheid. Niet op papier, maar in het dagelijks functioneren van de site.
Dat spanningsveld verklaart veel misverstanden.
Wat opdrachtgevers vaak aannemen
In gesprekken horen we regelmatig aannames die begrijpelijk zijn, maar niet altijd kloppen.
- Het bureau houdt alles automatisch bij
- Updates zijn veilig, dus die kunnen altijd
- Als er iets misgaat, is dat een extern probleem
- Beveiliging is verantwoordelijkheid van de partij die het beheer doet
Deze aannames ontstaan niet uit onwil, maar uit afstand. Drupalbeheer is voor veel organisaties geen kernactiviteit. Men verwacht dat ‘het geregeld is’, zonder precies te weten wat dat inhoudt.
Dat werkt zolang alles goed gaat. Het wordt anders als dat niet meer zo is.
Wat een bureau redelijkerwijs kan dragen
Een professioneel Drupalbureau of beheerpartij kan veel verantwoordelijkheid op zich nemen, maar niet onbeperkt. Dat hangt af van afspraken, contracten en de mate van betrokkenheid.
Typisch vallen onder beheerverantwoordelijkheid:
- Het tijdig installeren van Drupal core- en security-updates
- Het bijhouden van contrib-modules binnen afgesproken kaders
- Monitoring op beschikbaarheid en technische fouten
- Signalering van risico’s, zoals verouderde maatwerkcode
Wat daar meestal niet onder valt:
- Strategische keuzes over functionaliteit
- Acceptatie van functionele wijzigingen
- Besluitvorming over downtime of grote upgrades
- Inhoudelijke of juridische verantwoordelijkheid voor content
Het verschil zit niet in bereidheid, maar in rolverdeling.
Een herkenbaar praktijkvoorbeeld
Een organisatie draait op Drupal 9, terwijl Drupal 10 al geruime tijd beschikbaar is. Updates zijn maanden uitgesteld omdat maatwerkmodules niet compatibel zijn. Niemand neemt een besluit. Het bureau wijst op risico’s, de opdrachtgever op budget en prioriteit.
Dan volgt een beveiligingslek in een gebruikte module. De update vereist ingrijpen op een schaal die niet triviaal is. De site gaat tijdelijk offline.
De vraag komt alsnog: wie heeft dit laten gebeuren?
Het eerlijke antwoord is meestal: ‘niemand bewust’. Het is gebeurd omdat verantwoordelijkheid niet expliciet was afgebakend.
Waarom duidelijke afspraken essentieel zijn
Drupal is geen statisch product. Het ecosysteem beweegt continu. Nieuwe versies, aflopende supporttermijnen en veranderende beveiligingseisen maken onderhoud onvermijdelijk.
Sinds Drupal 8 geldt een strak releasebeleid. Major upgrades volgen elkaar sneller op dan vroeger. Dat betekent dat ‘even wachten..’ geen neutrale keuze meer is, maar een risico.
Duidelijke afspraken maken dat expliciet:
- Wie besluit over major upgrades
- Wie signaleert end-of-life momenten
- Wie draagt het risico bij uitstel
- Wat mag een beheerpartij zelfstandig doen
Zonder die afspraken ontstaat grijs gebied. En grijs gebied is precies waar problemen blijven liggen.
Verantwoordelijkheid delen zonder verwarring
Goede samenwerking draait niet om het afschuiven van verantwoordelijkheid, maar om het verdelen ervan. Dat vraagt volwassenheid aan beide kanten.
Van de opdrachtgever:
- Begrip dat een website onderhoud vraagt
- Bereidheid om besluiten te nemen
- Realistische verwachtingen over risico en kosten
Van het bureau:
- Proactieve communicatie
- Transparantie over wat wel en niet kan
- Documentatie van keuzes en gevolgen
Daar ontstaat vertrouwen. Niet door beloftes, maar door helderheid.
Conclusie: verantwoordelijkheid begint bij eigenaarschap
De verantwoordelijkheid voor een Drupal-site ligt uiteindelijk altijd bij de eigenaar. Dat verandert niet door uitbesteding.
Wat wel verandert, is de manier waarop die verantwoordelijkheid wordt ingevuld. Een goede beheerpartij neemt werk, zorg en complexiteit uit handen. Maar geen beslissingen zonder mandaat, en geen risico’s zonder positieve onderbouwing.
Wie dat onderscheid begrijpt, voorkomt teleurstelling. En vaak ook downtime.
Verantwoordelijkheid is geen vraagstuk voor als het misgaat. Het is een gesprek dat je voert zolang alles nog rustig draait. Dat is meestal het moment waarop het meeste ongemak wordt voorkomen.