Een lezer vroeg me:
Ik verhuur (als particulier) een vakantiehuisje en gebruik voor de promotie en verhuurregistratie een WordPress site. Nu lees ik de afgelopen weken regelmatig over WordPress hacks en kwetsbaarheden. Als er door een hack gegevens van mijn website worden gelekt, ben ik dan aansprakelijk? Ik probeer eventuele updates wel regelmatig (tegenwoordig eens per week ongeveer) uit te voeren, maar ik kijk niet elke dag naar de website.Formeel ben je ook als particulier die persoonsgegevens verwerkt, onderworpen aan de AVG. Er is inderdaad een uitzondering voor ‘natuurlijke personen’, maar dat gaat over het soort verwerking: een “zuiver persoonlijke of huishoudelijke activiteit” door een individu is uitgezonderd.
De definitie van zo’n activiteit is nogal beperkt. Overweging 18 omschrijft het als een handeling die “als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit” en noemt als voorbeelden het houden van adresbestanden en het sociaal netwerken.
Bij het verhuren van een vakantiehuisje kun je moeilijk volhouden dat dat “geen enkel” verband houdt met een handelsactiviteit. Verhuren is naar zijn aard een stukje handel, geld verdienen. Dat het particulier is en niet grootzakelijk, is een kwestie van schaal en niet fundamenteel.
Dus ja, als je particulier een vakantiehuisje verhuurt, daarbij WordPress inzet voor de boekingen en dan een datalek krijgt door gebrekkige beveiliging, dan kan de Autoriteit Persoonsgegevens optreden tegen die schending van artikel 32 (beveiligingsplicht). Het is jouw taak die beveiliging goed op orde te hebben, ook als je een derde inzet (zoals een ict-bedrijf) die het voor je regelt.
De vraagsteller heeft het in de vraag over “niet elke dag” controleren of er beveiligingslekken zijn. Dit kan indirect meewegen gezien zijn status bij de vraag of sprake is van nalatigheid, wat weer mede van invloed is op de hoogte van de boete (art. 83 lid 2 onder b AVG).
Overweging 148 voegt daaraan toe dat als het gaat om een “kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen”, de boete daarop bijgesteld moet worden. In de Boetebeleidsregels van de Autoriteit Persoonsgegevens worden geen expliciete uitzonderingen gemaakt voor natuurlijke personen, maar dit kader moet natuurlijk binnen de AVG-regels worden geduid.
Arnoud
Er zullen ongetwijfeld redenen zijn om de verhuur op deze manier te doen, maar er zijn allerlei manieren om dit via een soort van collectief te doen. Natuur huisje punt nl is er eentje die ik ken. Ben je als verhuurder in ieder geval van die zorgen af.
Voor je lezer: de plugin easy updates manager werkt goed en heeft een check om te zien of een plugin of theme compatibel is met de versie van WP. In mijn ervaring is het zo dat als je die instelt om elke 12 uur te controleren, 1 dag te wachten (instelbaar, maar soms is het zo dat een plugin een bug bevat die dan meestal binnen enkel uren wordt verholpen, je voorkomt problemen door 1 dag te wachten), en aan te vinken dat de compatibiliteit moet worden gecheckt, je eigenlijk altijd alles werkend geupdate houdt zonder veel verder omkijken. Handmatig updaten is dan niet meer nodig, en je kan instellen dat je mail krijgt als er een update-probleem is.