Inloggen
Weblog Vereniging van Registrars
Ik ben toch zeker niet verantwoordelijk?
8 oktober 2015 om 08:00:00

Als hostingpartij sluiten we dagelijks nieuwe overeenkomsten met bedrijven die hun applicatie, gegevens of website bij ons willen hosten.

 

Meestal is het voor ons niet duidelijk welke gegevens er door deze nieuwe klanten verzameld worden in hun applicatie.
Toch lijkt het steeds belangrijker voor ons, als hostingleverancier, om daar wel een beeld van te krijgen.
Als de klant persoonsgegevens vastlegt in zijn applicatie en databases, dan is het van belang dat er duidelijkheid is over wie wat mag doen met deze gegevens.

 

In sommige gevallen is het zelfs van belang voor de klant dat hij zijn gegevensverwerking aanmeldt bij het CBP. Om te bepalen of hij dit hoort te doen heeft het CBP een handreiking vrijstellingsbesluit geschreven: https://cbpweb.nl/nl/melden/handreiking-vrijstellingsbesluit-wbp

 

Iedereen die een onderdeel van de verwerking van persoonsgegevens uitbesteedt moet hierover vastleggen wat de andere partij ermee mag. Hoe zij de gegevens horen te beschermen en wat zij er niet mee mogen.
Dit wordt dan geregeld in een bewerkersovereenkomst. Volgens vele artikelen van ICTRecht en bijvoorbeeld Webwinkelrecht (https://webwinkelrecht.nl/privacy/heeft-een-webwinkel-een-bewerkersovereenkomst-nodig/) is er snel sprake van een noodzaak tot het sluiten van zo’n bewerkersovereenkomst.

 

Hoe moet je daar nu naar kijken als hoster? In sommige stukken wordt geopperd dat je een standaard bewerkersovereenkomst klaar kunt hebben liggen om bij opdrachten aan de klant te geven. Maar is dat wel zo verstandig? Natuurlijk biedt zo’n standaard overeenkomst een paar voordelen: het bevestigt een professioneel beeld van je bedrijf en het zorgt ervoor dat je in ieder geval de zaken regelt op een manier zoals je dat zelf graag wilt.

 

De schaduwzijde kan zijn dat je met het sluiten van een bewerkersovereenkomst een deel van de aansprakelijkheid op je neemt die je anders niet had. In verschillende zaken is gekeken naar de bijzondere rol van hostingbedrijven in de opslag en ontsluiting van data. Onder wiens verantwoordelijkheid valt die nu eigenlijk? Het is prima verdedigbaar dat een hoster in de meeste gevallen geen actieve rol uitoefent in de opslag en verwerking van gegevens op haar netwerk. Denk daarbij bijvoorbeeld aan het arrest Stokke/Marktplaats (http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:GHLEE:2012:BW6296 of voor een meer toegankelijke uitleg: http://dirkzwagerieit.nl/2012/05/22/marktplaats-als-host-gevrijwaard-voor-nep-stokkestoelen-enhoeft-niet-te-filteren-op-nepstoele/)
De hostingpartij heeft in het licht van deze uitspraak wel verschillende verplichtingen richting de klant in verband met de geleverde dienst, maar blijft gevrijwaard van de verantwoordelijkheid rondom de inhoud.

 

Als je deze uitspraak toepast op ‘het bewerken’ in de zin van de Wet bescherming persoonsgegevens, dan lijkt het voor een hostingleverancier dus helemaal niet zo verstandig om een bewerkersovereenkomst bij een klant neer te leggen. In dat geval is hij namelijk in ieder geval wél voor een deel aansprakelijk voor wat er met de data gebeurt. Dat kan dan verder gaan dan de aansprakelijkheid zoals die rondom de basislevering geldt.

 

Wil je dus zelf in de driverseat blijven door te zorgen dat je een bewekersovereenkomst standaard aanbiedt aan je klanten, of blijf je liever wachten op klanten die met zo’n overeenkomst naar je toe komen? In ieder geval is het verstandig om na te denken over de inhoud die je wel en niet wilt zien in zo’n overeenkomst. Je kunt hiervoor gericht juridisch advies inwinnen, of een kijkje nemen op de site van ICTRecht waar je met behulp van een generator een bewerkersovereenkomst kunt samenstellen: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomst-generator/

Dit kan wellicht een op maat gemaakt advies niet vervangen, maar is een prima start om wat beter beslagen ten ijs te komen.

 

Ga eens na voor jezelf, heb je een standaard bewerkersovereenkomst op de plank liggen en ga je hiermee actief naar je klanten? Hoe weeg jij dat risico af?

 

Flip Keijzer

Reacties
Plaats uw reactie

Er zijn geen weblog reacties gevonden.
Terug naar de blog van Vereniging van Registrars