Val je als privepersoon met een forum ook onder de AVG?

| AE 10868 | Privacy | 22 reacties

Een lezer vroeg me:

Er is nogal wat onduidelijkheid over de toepassing van de AVG op fora op het internet, die worden gerund door privépersonen. Is de AVG inderdaad beperkt tot bedrijven en organisaties of geldt deze ook als men een forum runt, zonder een organisatie (vereniging etc) te zijn?

De AVG geldt ook voor privépersonen die een forum runnen. De AVG zegt nergens dat zij alleen geldt voor bedrijven en instellingen. Wel is er een uitzondering voor privépersonen die voor strikt eigen huishoudelijk gebruik persoonsgegevens verwerken, maar die is heel beperkt en geldt niet wanneer je een forum in de openbaarheid van internet aanbiedt.

Vanuit de bedoeling van de AVG is dit ook logisch: het gaat erom te zorgen dat persoonlijke informatie alleen netjes en veilig wordt gebruikt. Op een forum kunnen dingen misgaan (van datalekken tot smaad) en of daar nu een privépersoon of een bedrijf met 2 miljoen jaaromzet achter zit, maakt voor de impact van zo’n fout niet uit. Daarom moeten beiden onder de AVG vallen.

Natuurlijk zal het niet meevallen voor een privépersoon alleen om een forum geheel aan de AVG te laten voldoen. Je host dat dan vaak bij een groot bedrijf tegen minimale prijzen (of zelfs gratis), en je hebt daardoor weinig rechten. Bovendien is toezicht houden, laat staan ze aanspreken op fouten onder de AVG zo goed als onmogelijk. Je hebt het als particulier al druk genoeg met je forumgebruikers onder de duim houden, met al hun klachten, vergeetverzoeken en waarschuwingen over vermeende datalekken.

Toch ontslaat dat je niet van je plicht om aan de AVG te voldoen. De wet is de wet, en een kleintje in zijn eentje moet aan precies dezelfde regels voldoen als een miljardenbedrijf. En om diezelfde reden kun je als privépersoon beboet worden als je de AVG overtreedt. Het is dan een schrale troost dat de AVG zegt (overweging 148) dat

Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping.

Ik kan me in de praktijk echter niet voorstellen dat je snel de AP achter je aan krijgt als particulier, in ieder geval niet dat ze méér doen dan een sommatie om bepaalde dingen te stoppen. Tenzij je het echt heel bont maakt of de indruk wekt dat je opzettelijk de wet zit te negeren op punten waarvan iedereen weet hoe het geregeld is.

Arnoud

Deel dit artikel

  1. Het ergste is dat je software gebruikt en de makers van die software niet luisteren naar gebruikers. Hun zijn veilig aangezien de website eigenaar verantwoordelijk is, maar ik had wel graag gezien dat de AVG een clausule in had staan. De clausule had het volgende moeten afdekken als er een AVG boete volgt door dat de software niet compatibel is met AVG gemaakte kosten en boetes verhaald kunnen worden op de makers van de software.

          • Ik bedoel niet dat omdat het gratis is, dat het de verantwoordelijkheid van de ontwikkelaar moet zijn. Ik bedoel dat omdat de markt krap is, het de verantwoordelijkheid van de ontwikkelaar moet zijn.

            Bovendien zullen er forums zijn die al vele jaren bestaan, en nu ineens niet aan de AVG voldoen. Migreren is vaak moeilijk of zelfs onmogelijk, dus moet je ineens kiezen tussen een rijk archief of een AVG-conform systeem.

            Het is nogal een vraag aan (vaak) hobbyisten die gewoon discussie willen voeren.

            • Het probleem is meer in de betaalde versies ik betaal voor features en onderhoud van. Maar als de makers van het script nu zeggen dit is goed maar het is aanwijbaar niet goed of de AVG denk er anders over etc. Ben je als websitebeheerder verantwoordelijk wat goed is anders krijg je afschuif spelletjes. Maar in de AVG had moeten staan dat leveranciers van software waar de gebruiker een boete kreeg mag verhalen op de leverancier en dat dit niet beperkt kan worden.

                • Opnieuw, als je al jaren bij dezelfde leverancier zit, en deze nu niet aan de AVG voldoet en niet van plan is te voldoen, dan zit je ineens met een forum waarmee je de wet overtreedt. Overstappen is vaak moeilijk als je de database wil behouden.

                  Het kan zelfs zo zijn dat je de boel helemaal niet veilig kunt stellen. Ik heb vroeger wel eens een forum gemaakt op proboards. Ik weet niet of ik daar technisch gezien als eigenaar zou gelden, gezien ik ook maar een gebruiker ben die een forum heeft gecreëerd, maar is je forum echt weg als je die verwijdert?

                  En het is niet dat ik vind dat forums zich niet aan de AVG hoeven te houden, maar dat er meer druk op de leveranciers moet staan om een versie beschikbaar te stellen die aan de AVG voldoet en die normaal gesproken binnen de service moet vallen. Pas als zo’n versie afdoende beschikbaar is, kunnen forum-eigenaren worden aangesproken voor het niet updaten naar die versie.

                    • Net een heel traject doorlopen voor een product dat wel aan de oude wetgeving voldeet. Er is echt voldoende gewijzigd dat het zeer goed mogelijk is dat je aan de oude wetgeving voldeed en nu niet meer.

                      Hoe wij vroeger met de data omgingen voldeed helemaal aan de oude wetgeving, maar aan de AVG voldeden we nog niet. Voornamelijk door heel veel tijdrovende documenten die aangemaakt moesten worden omdat er veel meer vastgelegd moet worden. Wellicht leuk voor juristen, maar voor normale mensen dodelijk saai werk ?

                      • Heb je ook concrete voorbeelden? Want je zegt nu eigenlijk kort samengevat “We voldeden wel onder de oude wetgeving (WBP), maar niet onder de AVG, want we moeten nu meer documenteren”. Waar voldeed je dan opeens niet aan? En dan ben ik ook benieuwd naar het overzicht van voldoende wijzigingen waarmee je opeens niet meer aan wetgeving voldoet als je niet aan die wijzigingen voldoet. Want daar is nagenoeg iedere privacy specialist die ik ken het met je oneens. En je laatste opmerking voegt zo weinig toe. Er zijn tal van zaken die jan en alleman dodelijk saai (mogen) vinden, maar dat maakt het nog geen optionele zaak. Waarom nog belastingaangifte doen of btw afdragen, etc.

  2. Je host dat dan vaak bij een groot bedrijf tegen minimale prijzen (of zelfs gratis), en je hebt daardoor weinig rechten.
    Grote hostingbedrijven die in Europa opereren zullen inmiddels wel gezorgd hebben dat ze aan de AVG voldoen in hun overeenkomsten en algemene voorwaarden zodat ze voor iedere Europese partij geaccepteerd kunnen worden als verwerker.

  3. Ik heb een persoonlijke website met uitsluitend statische (hobby) informatie. Gebruik geen analytics of wat dan ook, en verwerk geen gegevens. Val daardoor niet onder de AVG. Het grijze gebied is echter de cookies, die onthoudt waar een website geweest is, maar die zit in mijn geval in de browser zelf (Link die verkleurd etc.)

    Echt duidelijker wordt het er niet op.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS