Val je als privepersoon met een forum ook onder de AVG?

Een lezer vroeg me:

Er is nogal wat onduidelijkheid over de toepassing van de AVG op fora op het internet, die worden gerund door privépersonen. Is de AVG inderdaad beperkt tot bedrijven en organisaties of geldt deze ook als men een forum runt, zonder een organisatie (vereniging etc) te zijn?

De AVG geldt ook voor privépersonen die een forum runnen. De AVG zegt nergens dat zij alleen geldt voor bedrijven en instellingen. Wel is er een uitzondering voor privépersonen die voor strikt eigen huishoudelijk gebruik persoonsgegevens verwerken, maar die is heel beperkt en geldt niet wanneer je een forum in de openbaarheid van internet aanbiedt.

Vanuit de bedoeling van de AVG is dit ook logisch: het gaat erom te zorgen dat persoonlijke informatie alleen netjes en veilig wordt gebruikt. Op een forum kunnen dingen misgaan (van datalekken tot smaad) en of daar nu een privépersoon of een bedrijf met 2 miljoen jaaromzet achter zit, maakt voor de impact van zo’n fout niet uit. Daarom moeten beiden onder de AVG vallen.

Natuurlijk zal het niet meevallen voor een privépersoon alleen om een forum geheel aan de AVG te laten voldoen. Je host dat dan vaak bij een groot bedrijf tegen minimale prijzen (of zelfs gratis), en je hebt daardoor weinig rechten. Bovendien is toezicht houden, laat staan ze aanspreken op fouten onder de AVG zo goed als onmogelijk. Je hebt het als particulier al druk genoeg met je forumgebruikers onder de duim houden, met al hun klachten, vergeetverzoeken en waarschuwingen over vermeende datalekken.

Toch ontslaat dat je niet van je plicht om aan de AVG te voldoen. De wet is de wet, en een kleintje in zijn eentje moet aan precies dezelfde regels voldoen als een miljardenbedrijf. En om diezelfde reden kun je als privépersoon beboet worden als je de AVG overtreedt. Het is dan een schrale troost dat de AVG zegt (overweging 148) dat

Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping.

Ik kan me in de praktijk echter niet voorstellen dat je snel de AP achter je aan krijgt als particulier, in ieder geval niet dat ze méér doen dan een sommatie om bepaalde dingen te stoppen. Tenzij je het echt heel bont maakt of de indruk wekt dat je opzettelijk de wet zit te negeren op punten waarvan iedereen weet hoe het geregeld is.

Arnoud

24 reacties

  1. Het ergste is dat je software gebruikt en de makers van die software niet luisteren naar gebruikers. Hun zijn veilig aangezien de website eigenaar verantwoordelijk is, maar ik had wel graag gezien dat de AVG een clausule in had staan. De clausule had het volgende moeten afdekken als er een AVG boete volgt door dat de software niet compatibel is met AVG gemaakte kosten en boetes verhaald kunnen worden op de makers van de software.

      1. Gezien forums over het algemeen vrijwilligers zijn die graag een plek hebben om over een onderwerp te praten, zoeken mensen al gauw een gratis optie. De vraag is of er een gratis optie is die AVG-compliant is. Het is zelfs de vraag of er een betaalde optie is.

          1. Ik bedoel niet dat omdat het gratis is, dat het de verantwoordelijkheid van de ontwikkelaar moet zijn. Ik bedoel dat omdat de markt krap is, het de verantwoordelijkheid van de ontwikkelaar moet zijn.

            Bovendien zullen er forums zijn die al vele jaren bestaan, en nu ineens niet aan de AVG voldoen. Migreren is vaak moeilijk of zelfs onmogelijk, dus moet je ineens kiezen tussen een rijk archief of een AVG-conform systeem.

            Het is nogal een vraag aan (vaak) hobbyisten die gewoon discussie willen voeren.

            1. Het probleem is meer in de betaalde versies ik betaal voor features en onderhoud van. Maar als de makers van het script nu zeggen dit is goed maar het is aanwijbaar niet goed of de AVG denk er anders over etc. Ben je als websitebeheerder verantwoordelijk wat goed is anders krijg je afschuif spelletjes. Maar in de AVG had moeten staan dat leveranciers van software waar de gebruiker een boete kreeg mag verhalen op de leverancier en dat dit niet beperkt kan worden.

              1. De opdrachtgever bepaalt wat hij koopt. Als een product niet aan zijn wensen voldoet, shopt hij verder of kiest voor maatwerk en kan precies specificeren wat hij (al dan niet in het kader van de AVG) wil hebben. B2B kan aansprakelijkheid prima uitgesloten worden; kwestie van onderhandelen – B2C ligt dat anders.

                1. Opnieuw, als je al jaren bij dezelfde leverancier zit, en deze nu niet aan de AVG voldoet en niet van plan is te voldoen, dan zit je ineens met een forum waarmee je de wet overtreedt. Overstappen is vaak moeilijk als je de database wil behouden.

                  Het kan zelfs zo zijn dat je de boel helemaal niet veilig kunt stellen. Ik heb vroeger wel eens een forum gemaakt op proboards. Ik weet niet of ik daar technisch gezien als eigenaar zou gelden, gezien ik ook maar een gebruiker ben die een forum heeft gecreëerd, maar is je forum echt weg als je die verwijdert?

                  En het is niet dat ik vind dat forums zich niet aan de AVG hoeven te houden, maar dat er meer druk op de leveranciers moet staan om een versie beschikbaar te stellen die aan de AVG voldoet en die normaal gesproken binnen de service moet vallen. Pas als zo’n versie afdoende beschikbaar is, kunnen forum-eigenaren worden aangesproken voor het niet updaten naar die versie.

                    1. Net een heel traject doorlopen voor een product dat wel aan de oude wetgeving voldeet. Er is echt voldoende gewijzigd dat het zeer goed mogelijk is dat je aan de oude wetgeving voldeed en nu niet meer.

                      Hoe wij vroeger met de data omgingen voldeed helemaal aan de oude wetgeving, maar aan de AVG voldeden we nog niet. Voornamelijk door heel veel tijdrovende documenten die aangemaakt moesten worden omdat er veel meer vastgelegd moet worden. Wellicht leuk voor juristen, maar voor normale mensen dodelijk saai werk ?

                      1. Heb je ook concrete voorbeelden? Want je zegt nu eigenlijk kort samengevat “We voldeden wel onder de oude wetgeving (WBP), maar niet onder de AVG, want we moeten nu meer documenteren”. Waar voldeed je dan opeens niet aan? En dan ben ik ook benieuwd naar het overzicht van voldoende wijzigingen waarmee je opeens niet meer aan wetgeving voldoet als je niet aan die wijzigingen voldoet. Want daar is nagenoeg iedere privacy specialist die ik ken het met je oneens. En je laatste opmerking voegt zo weinig toe. Er zijn tal van zaken die jan en alleman dodelijk saai (mogen) vinden, maar dat maakt het nog geen optionele zaak. Waarom nog belastingaangifte doen of btw afdragen, etc.

  2. Je host dat dan vaak bij een groot bedrijf tegen minimale prijzen (of zelfs gratis), en je hebt daardoor weinig rechten.
    Grote hostingbedrijven die in Europa opereren zullen inmiddels wel gezorgd hebben dat ze aan de AVG voldoen in hun overeenkomsten en algemene voorwaarden zodat ze voor iedere Europese partij geaccepteerd kunnen worden als verwerker.

    1. Dat is afhankelijk van wie je het vraagt. Onze nieuwe voorwaarden zijn door verschillende grote partijen beoordeeld. En dan bedoel ik niet dat een secretaresse ze even gelezen heeft, nee verschillende klanten hebben hun juristen erop los gelaten. Wij hebben een jurist erop losgelaten voordat we ze aanboden. En het resultaat:

      100% miept over de voorwaarden; ze zouden niet voldoen.

      80-90% daarvan heeft helemaal geen issue met de AVG maar probeert gewoon betere voorwaarden te krijgen, want gaat uiteindelijk ongewijzigd akkoord.

      De rest blijft miepen, maar allemaal over een ander onderdeel.

      Wij zijn inmiddels in het take it or leave it stadium gekomen.

      1. De AVG is inderdaad een gemiste kans om écht iets aan misbruik te doen. Het lijkt slechts geschapen om het leger juristen van werk te voorzien. En dat dan weer ten koste van middenstand, kleinbedrijf en verenigingsleven.

        1. Als internetgebruiker merk ik juist dat ik op meer plekken meer in detail gevraagd wordt wat ik wil qua privé vs. personalisatie. Bovendien voelt dit echt als een optie waar het niet aanvaarden vaak de makkelijkste optie is (in plaats van de Algemene Voorwaarden manier van lap tekst en op accepteren moeten drukken). Ik geloof best dat het niet overal goed gaat, maar ik vind dat het wel iets oplevert.

  3. Ik heb een persoonlijke website met uitsluitend statische (hobby) informatie. Gebruik geen analytics of wat dan ook, en verwerk geen gegevens. Val daardoor niet onder de AVG. Het grijze gebied is echter de cookies, die onthoudt waar een website geweest is, maar die zit in mijn geval in de browser zelf (Link die verkleurd etc.)

    Echt duidelijker wordt het er niet op.

      1. Een cookie is eigenlijk hetzelfde als een log, het enige verschil is dat een cookie op verzoek van een website wordt achtergelaten, en de log automatisch opgeslagen wordt door je browser (cache).

        Op dat laatste heb je als webbouwer geen enkele invloed. Maar probeer dat de mensen die dit moeten beoordelen maar uit te leggen. Zeker als je via CSS de kleur van je links wel kunt aanpassen.

          1. klopt helemaal. Toch is er relevantie, ik heb nu twee maal een verzoek gekregen om iemands cookies te verwijderen, die dachten dat de kleuren van hun links veranderde door mijn cookies, ipv mijn css. Niet iedereen is bekend met de werking van cookies.

    1. We moeten het nog zien. De AP is zwaar overbelast (ook omdat grote bedrijven privacy-deskundigen heeft weggekocht!). Als de eerste grote boetes gaan vallen, zal het wel langzaamaan veranderen. Theodoor Gilissen Bankiers was de eerste die die eer te beurt viel, al viel het bedrag met 48.000 euro nog mee (https://autoriteitpersoonsgegevens.nl/nl/nieuws/tgb-betaalt-dwangsom-na-niet-voldoen-aan-inzageverzoek), maar het wordt pas echt interessant als de grote zondaars en partijen die altijd op het randje van het toelaatbare proberen te handelen (BKR, Postcode Loterij) voor de bijl gaan.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.