Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me:

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.

Deel dit artikel

  1. Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten.

    Deze snap ik niet helemaal. Je neemt bij een hoster bijvoorbeeld hosting en een domeinnaam af en zet zelf alles online, niet de hoster. In het dagelijks beheer van een website is de hoster wat betreft inhoud toch helemaal niet betrokken?

        • En dan riskeren dat de klant met contractbreuk komt aanzetten?

          Want hoe gaat die hoster de zaken controleren die Arnoud al noemt als je alleen weet dat die informatie er staat?

          De hoster kan nooit beoordelen of er sprake is van een legitiem belang, daarvoor staat die te ver van zijn klant. Hij kan dan ook nooit meewerken aan een verzoek tot verwijderen, ook al zou hij alle andere gronden wel zelf kunnen beoordelen.

          Tenzij er een uitspraak van de rechter ligt dat het verwijderd moet worden kan hij niets. Maar dan heeft zijn klant blijkbaar al een rechtzaak verloren en geweigerd aan het vonnis te voldoen.

          De enige actie die de hosting provider kan doen is doorverwijzen naar zijn klant.

        • Is dat niet in essentie waarom je een verwerkersovereenkomst nodig hebt. Daarin geeft klant aan dat zij een goede reden hebben om die gegevens te verwerken en dat zij AVG verzoeken tijdig en op de juiste manier zullen behandelen. En het lijkt me dan heel normaal als er ergens een clausule in staat hoe de hoster reageert als de klant (structureel) niet aan zijn verplichting voldoet. door bijvoorbeeld de website niet meer publiek toegankelijk te maken of als de klant helemaal niet meer reageert dat de boel dan inderdaad helemaal weg gegooid word. En in deze context hoeft dat ok niet meer te zijn dan een “ja ik ben er mee bezig en het is inderdaad mijn verantwoordelijkheid”. Het gaat er vooral om dat als ik als privepersoon ergens gegevens heb staan, dat ik weet wie ik moet aanspreken als ik er wat mee wil. Als je dit van te voren netjes afspreekt kan het ook geen contractbreuk zijn

    • Wij hosten ook data voor onze klanten.

      Deze data is echter encrypted en wij hebben er geen toegang toe. Zeg maar hoe wij moeten constateren dat jouw informatie er staat? Zelfs als we aannemen dat die er staat kunnen wij niet zien waar die staat, dat kan alleen onze klant. Wij kunnen moeilijk al zijn informatie weggooien. Zeker niet omdat daar informatie bij zit waar onze klanten een wettelijke bewaarplicht voor hebben, welke wij ook niet kunnen onderscheiden van de persoongegevens die we zouden moeten verwijderen. En ja dat is een bewuste keuze die de onderhandelingen met onze klanten over privacy een stuk korter en makkelijker hebben gemaakt.

      Wij sturen dus ook door naar onze klant met de mededeling sorry we kunnen je niet helpen.

      Wellicht dat als Grapperhaus zijn zin krijgt en we een achterdeur in moeten bouwen dat een rechter ons ooit oplegt dat we die achterdeur moeten gebruiken, maar tot die tijd. (Oh heb ik daar nu net een reden gegeven waarom een achterdeur in encryptie voor alleen de overheid nooit gaat werken… toch mooi hoe alles samenhangt!)

      • Elroy, je kan in de verwerkersovereenkomst met je klant opnemen dat hij conform AVG werkt en hoe om te gaan met verzoeken en klachten van eindgebruikers. Ik meen me te herinneren dat zoiets er ook verplicht in moet, maar dat weet ik niet zeker. Op het moment dat een van je klanten zich daar dan niet aan houdt, kan je de overeenkomst ontbinden. En dan geef je je klant natuurlijk even de tijd om zijn data veilig te stellen. En van de eindgebruiker mag je verwachten dat hij bewijs aanlevert, dat jouw klant zich niet aan de AVG houdt, voor je die stap neemt.

        • Klinkt allemaal goed, maar hoe gaan wij dat dan doen? Hoe gaat die persoon dat dan doen?

          Alleen onze klant kan bij zijn encrypte data. De persoon die verzoekt om zijn gegevens te verwijderen, corrigeren, kan daar ook niet bij. Welk bewijs zou die kunnen overleggen? En een claim dat die gegevens er staan kunnen wij niet controleren. De enige die weet wat er is opgslagen en er wat mee kan doen is onze klant.

          Wij hebben dan ook geen enkel bewijs dat onze klant niet aan de AVG voldoet, er is geen manier dat iemand die niet bij onze klant een audit doet kan vaststellen of onze klant aan de AVG voldoet. Wij hebben dus geen enkele grond om de overeenkomst met de klant op te zeggen.

      • En anders kun je contact opnemen met je klant en zeggen dat die moet reageren en je anders overweegt de overeenkomst per eerstvolgende mogelijkheid te ontbinden. Als alternatief kun je ook iets opnemen in je algemene voorwaarden lijkt mij dat je klant, indien deze wordt aangesproken, binnen 2 weken moet reageren. Dan is het verzoek doorsturen en er even achteraan bellen lijkt mij voldoende om die 2 weken te starten. Na die 2 weken eventueel de dienst opschorten tot er gereageerd wordt.

        Waarom zou je dit veel anders behandelen dan wanbetaling mbt de eis dat de klant zijn deel van de overeenkomst nakomt?

  2. Is het probleem niet gewoon dat er praktisch bekeken geen manier is om je recht te halen, als de verwerkingsverantwoordelijke niet wil meewerken? Nu worden dus hosters opgezadeld met iets wat de AP zou moeten handhaven. Wat hebben we aan een recht als we het niet kunnen opeisen? Voor een directeur die geen waarde hecht aan fatsoen en privacy (en daar zijn er veel van), is er geen enkele reden om de AVG serieus te nemen. Het wordt in de praktijk toch niet gehandhaafd… Die boetes van €5000,- waar je over blogde zouden een oplossing kunnen zijn.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS