Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me:

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.

Heb je als verwerker zelf ook een grondslag nodig?

| AE 11358 | Privacy | 2 reacties

Een lezer vreoeg me:

Een verwerker hoeft geen eigen grondslag te hebben, die werkt onder de grondslag van de verwerkingsverantwoordelijke. Het is ook niet logisch want de grondslagen zouden dan altijd samenvallen; artikel 6 AVG zegt immers “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan”. Als de vv zich kan beroepen op bijvoorbeeld toestemming, dan is het niet nodig dat de vw nog een andere grondslag aandraagt.

De grondslag uitvoering overeenkomst vereist dat de betrokkene daarbij partij is (zie tekst artikel 6 lid 1 sub b AVG), of in ieder geval vermoedelijk gaat worden (de precontractuele fase). Bij de verwerkersovereenkomst is de betrokkene geen partij dus die kan geen deel uitmaken van de overeenkomst.

Debiteurenbeheer in opdracht van een dienstverlener valt m.i. onder uitvoering overeenkomst, incasso hoort vrij evident bij het nakomen van een contract lijkt me zo. Toestemming van de betrokkene is niet aan de orde. Uw klant heeft een dienstovereenkomst (of bij producten een verkoopovereenkomst). U als verwerker neemt de taak van de incasso op u, en u doet dat onder de grondslag van de uitvoering van die overeenkomst.

Wat moet je doen met een ICT-beheerder die per abuis persoonsgegevens krijgt?

| AE 11200 | Privacy | 4 reacties

Een lezer vroeg me:

In 2018 schreef je over verwerkerschap bij een derde partij zoals een ICT-beheerder. Je zei dat je geen verwerkersovereenkomst hoeft te sluiten met zo’n partij wanneer deze partij expliciet geen toegang wil hebben tot persoonsgegevens. Wat zou die partij dan wel mogen (of moeten) doen als hij toch persoonsgegevens krijgt? Iedere handeling daarmee is een verwerking, dus moet er dan toch alsnog gauw een verwerkersovereenkomst komen?

Het klopt dat je aan het verwerken bent als je persoonsgegevens langs ziet komen. Zelfs de enkele handeling van het wissen daarvan, is naar de letter van de AVG een verwerking. Maar persoonsgegevens verwerken wil niet zeggen dat je een verwerker bent.

Een verwerker ben je als je in opdracht persoonsgegevens verwerkt waar de opdrachtgever verwerkingsverantwoordelijke voor is. Die ander bepaalt het doel (dit moet je doen) en kiest de middelen (of tekent daarvoor af). Dat is de wettelijke definitie. Mijn salarisadministrateur is dus een verwerker, en mijn cloud-mailprovider is dat ook. Beiden doen wat ik zeggen dat ze moeten doen met de persoonsgegevens van mijn personeel en klanten.

Wie data tegenkomt buiten een opdracht, is dan ook per definitie geen verwerker. Volgens de AVG ben je dan zelf verwerkingsverantwoordelijke, oftewel je bepaalt zelf wat je er mee mag en moet. En dat is in dit geval heel simpel: je hebt geen grondslag om die gegevens te mogen hebben, dus moet je ze vernietigen. (De grondslag voor die vernietiging is dan ook de wettelijke plicht, artikel 6 sub c AVG.)

Ik twijfel nog of je als beheerder in zo’n situatie van een voor jou meldingsplichtig datalek moet spreken. Jij hebt immers geen geschonden beveiliging, zodat jij geen datalek hebt veroorzaakt. Maar je had wel data onder je op een plek waar die niet hoorde te zijn. Het meest logisch lijkt me echter dat je onmiddellijk de ‘echte’ verantwoordelijke in kennis stelt, waarna die wettelijk verplicht het lek zal moeten melden.

Arnoud

Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

| AE 10913 | Ondernemingsvrijheid, Privacy | 5 reacties

Een lezer vroeg me: Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant… Lees verder

Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 35 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het… Lees verder