Een lezer vroeg me:
Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?
Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.
We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.
Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.
Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.
Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.
Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.
Deze snap ik niet helemaal. Je neemt bij een hoster bijvoorbeeld hosting en een domeinnaam af en zet zelf alles online, niet de hoster. In het dagelijks beheer van een website is de hoster wat betreft inhoud toch helemaal niet betrokken?
Precies daarom zou ‘ie verwerker zijn en geen verwerkingsverantwoordelijke.
De hoster zorgt voor opslag en doorgifte van de persoonsgegevens, en verwerkt die daarmee. Hij doet dat in opdracht maar beslist niet over doel en middelen. Daarmee is hij toch verwerker?
Kan een hoster/verwerker niet de relatie stopzetten of een andere contractuele sanctie toepassen. In zo’n geval doet de hoster nog steeds niets met de gegevens, maar is er wel een mogelijkheid om “in te grijpen”. Daarnaast de vraag natuurlijk of de hoster iets moet doen (of verplicht zou moeten worden om iets te doen).
En dan riskeren dat de klant met contractbreuk komt aanzetten?
Want hoe gaat die hoster de zaken controleren die Arnoud al noemt als je alleen weet dat die informatie er staat?
De hoster kan nooit beoordelen of er sprake is van een legitiem belang, daarvoor staat die te ver van zijn klant. Hij kan dan ook nooit meewerken aan een verzoek tot verwijderen, ook al zou hij alle andere gronden wel zelf kunnen beoordelen.
Tenzij er een uitspraak van de rechter ligt dat het verwijderd moet worden kan hij niets. Maar dan heeft zijn klant blijkbaar al een rechtzaak verloren en geweigerd aan het vonnis te voldoen.
De enige actie die de hosting provider kan doen is doorverwijzen naar zijn klant.
Is dat niet in essentie waarom je een verwerkersovereenkomst nodig hebt. Daarin geeft klant aan dat zij een goede reden hebben om die gegevens te verwerken en dat zij AVG verzoeken tijdig en op de juiste manier zullen behandelen. En het lijkt me dan heel normaal als er ergens een clausule in staat hoe de hoster reageert als de klant (structureel) niet aan zijn verplichting voldoet. door bijvoorbeeld de website niet meer publiek toegankelijk te maken of als de klant helemaal niet meer reageert dat de boel dan inderdaad helemaal weg gegooid word. En in deze context hoeft dat ok niet meer te zijn dan een “ja ik ben er mee bezig en het is inderdaad mijn verantwoordelijkheid”. Het gaat er vooral om dat als ik als privepersoon ergens gegevens heb staan, dat ik weet wie ik moet aanspreken als ik er wat mee wil. Als je dit van te voren netjes afspreekt kan het ook geen contractbreuk zijn
je spreekt toch een verantwoordelijke aan ogv de wet. what’s in the name…
En wat nu als die geen antwoord geeft? Dat is het probleem bij veel van dit soort klachten.
dan stel je dat hij bij de verantwoordelijke moet zijn…?
Dat zeg ik net, die blijkt onbereikbaar. En dan, hoe verder?
Maar hoe is dat anders dan in niet-AVG zaken waar de verantwoordelijke niet doet wat hij moet doen?
Als de verantwoordelijke van webwinkel jougeen geld wil teruggeven al hebje er recht op. Als de verantwoordelijke van de luchtvaartmaatschappij je ticket niet wil omboeken. Als de buurman zijn vuilnis laapt opstapelen voor zijn deur.
Dan ga je toch ook niet iemand zoeken die de mogelijkheden heeft om iets te doen, maar niet de authoriteit, om het toch te doen?
Ik begrijp dat je het wil oplossen, maar zomaar links en rechts mensen eisen dat mensen je helpen, gaat ook wel wat ver, of niet? Je refereert aan het auteursrecht, maar ik denk dat je de situatie daar eerder als uitzondering, niet als norm moet zien.
Huh? Natuurlijk ga je dan hogerop. Ik bel de verhuurder. Schakel de wijkagent in. Eis bestuurlijke handhaving bij de gemeente. Dat is toch hetzelfde?
De verhuurder zal waarschijnlijk niet veel doen. Die anderen… dat is overheid, en die zullen, normaal gesproken, doen wat ze moeten doen.
Maar wat je niet doet is een slotenmaker onder druk zetten om een slot te openen van iemand anders, Of een ethische hacker vragen om eens even wat info namens jou weg te halen.
Of, als jouw groenteboer gewone bananen als bio-bananen verkoopt, naar de groothandel gaan om te eisen dat die optreedt?
Dat de hoster kan optreden, wil nog niet zeggen dat hij moet optreden, zeker niet als het zijn betalende klant betreft.
En met Lycos-Pessers of 123video kom je ook niet ver, daar ging het over de NAW gegevens van de klant opeisen. Dat is van een heel andere, veel lagere orde, dan de huidige discussie: moedwillig materiaal off-line halen. Ik vrees toch dat je daar een gerechtelijk bevel voor nodig hebt.
Die verhuurder handelt onrechtmatig als hij nalaat mijn woongenot te verzorgen. Hij moet dus in actie komen, dat is vaste rechtspraak. Verder staat in de wet (art. 6:196c lid 4 BW) dat een hoster moet ingrijpen omdat hij anders zelf aansprakelijk wordt.
Vind je het onethisch als ik bij je verhuurder klaag over jouw afval?
Absoluut niet.
Maar ik vind het wel onethisch als je de verhuurder vraagt mijn afval op te ruimen.
Sorry, in mijn optiek gaat 6:196c je ook niet verder helpen. Die geeft alleen wanneer een hoster NIET aansprakelijk is, dus is besides the point.
Nou ja, de verhuurder gaat jou natuurlijk aanmanen om op te ruimen, en dreigen met uitzetting en weet ik veel. Maar hij kan en mag een schoonmaakbedrijf inhuren en de kosten bij jou verhalen.
En 6:196c is inderdaad een uitzondering op de normale regel dat je aansprakelijk bent voor wat je doorgeeft of waar je iemand mee helpt. Een drukker is aansprakelijk voor een smaadschrift als hij redelijkerwijs kon weten dat hij smaad aan het drukken was. Maar omdat hosters dan niets meer gaan hosten, is 6:196c BW ingevoerd. Daarin staat dat je pas aansprakelijk wordt als er een evident juiste klacht komt (dus niet enkel “redelijkerwijs kon weten”).
Ja maar je gaat (bijna) nooit voldoen aan ‘evident in strijd met de AVG’, omdat je niet weet wat de overwegingen waren van de verwerkingsverantwoordelijke en omdat je de afspraken tussen het ‘slachtoffer’ en de verwerkingsverantwoordelijk niet kent. ‘Evident in strijd met’: dat is een heel hoge horde!
Wij hosten ook data voor onze klanten.
Deze data is echter encrypted en wij hebben er geen toegang toe. Zeg maar hoe wij moeten constateren dat jouw informatie er staat? Zelfs als we aannemen dat die er staat kunnen wij niet zien waar die staat, dat kan alleen onze klant. Wij kunnen moeilijk al zijn informatie weggooien. Zeker niet omdat daar informatie bij zit waar onze klanten een wettelijke bewaarplicht voor hebben, welke wij ook niet kunnen onderscheiden van de persoongegevens die we zouden moeten verwijderen. En ja dat is een bewuste keuze die de onderhandelingen met onze klanten over privacy een stuk korter en makkelijker hebben gemaakt.
Wij sturen dus ook door naar onze klant met de mededeling sorry we kunnen je niet helpen.
Wellicht dat als Grapperhaus zijn zin krijgt en we een achterdeur in moeten bouwen dat een rechter ons ooit oplegt dat we die achterdeur moeten gebruiken, maar tot die tijd. (Oh heb ik daar nu net een reden gegeven waarom een achterdeur in encryptie voor alleen de overheid nooit gaat werken… toch mooi hoe alles samenhangt!)
Elroy, je kan in de verwerkersovereenkomst met je klant opnemen dat hij conform AVG werkt en hoe om te gaan met verzoeken en klachten van eindgebruikers. Ik meen me te herinneren dat zoiets er ook verplicht in moet, maar dat weet ik niet zeker. Op het moment dat een van je klanten zich daar dan niet aan houdt, kan je de overeenkomst ontbinden. En dan geef je je klant natuurlijk even de tijd om zijn data veilig te stellen. En van de eindgebruiker mag je verwachten dat hij bewijs aanlevert, dat jouw klant zich niet aan de AVG houdt, voor je die stap neemt.
Klinkt allemaal goed, maar hoe gaan wij dat dan doen? Hoe gaat die persoon dat dan doen?
Alleen onze klant kan bij zijn encrypte data. De persoon die verzoekt om zijn gegevens te verwijderen, corrigeren, kan daar ook niet bij. Welk bewijs zou die kunnen overleggen? En een claim dat die gegevens er staan kunnen wij niet controleren. De enige die weet wat er is opgslagen en er wat mee kan doen is onze klant.
Wij hebben dan ook geen enkel bewijs dat onze klant niet aan de AVG voldoet, er is geen manier dat iemand die niet bij onze klant een audit doet kan vaststellen of onze klant aan de AVG voldoet. Wij hebben dus geen enkele grond om de overeenkomst met de klant op te zeggen.
Is een hoster, als verwerker, dan wel verplicht om duidelijk te maken wie wel de verantwoordelijke is? Vaak is dit als slachtoffer namelijk niet te achterhalen op anonieme websites.
Op basis van Lycos v Pessers lijkt me dat de hoster dat gewoon kan doen, mits aan de vier voorwaarden uit dat arrest is voldaan?
En anders kun je contact opnemen met je klant en zeggen dat die moet reageren en je anders overweegt de overeenkomst per eerstvolgende mogelijkheid te ontbinden. Als alternatief kun je ook iets opnemen in je algemene voorwaarden lijkt mij dat je klant, indien deze wordt aangesproken, binnen 2 weken moet reageren. Dan is het verzoek doorsturen en er even achteraan bellen lijkt mij voldoende om die 2 weken te starten. Na die 2 weken eventueel de dienst opschorten tot er gereageerd wordt.
Waarom zou je dit veel anders behandelen dan wanbetaling mbt de eis dat de klant zijn deel van de overeenkomst nakomt?
Is het probleem niet gewoon dat er praktisch bekeken geen manier is om je recht te halen, als de verwerkingsverantwoordelijke niet wil meewerken? Nu worden dus hosters opgezadeld met iets wat de AP zou moeten handhaven. Wat hebben we aan een recht als we het niet kunnen opeisen? Voor een directeur die geen waarde hecht aan fatsoen en privacy (en daar zijn er veel van), is er geen enkele reden om de AVG serieus te nemen. Het wordt in de praktijk toch niet gehandhaafd… Die boetes van €5000,- waar je over blogde zouden een oplossing kunnen zijn.