Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me:

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.