This article is also available in

10 Misverstanden over de AVG – 10

woensdag, 3 januari 2018

Door Ad van Loon, Senior Legal Counsel Digital Me

Misverstand 10: uit de AVG volgt dat ik een bewerkersovereenkomst moet sluiten met de ‘hosting providers’ waarbij ik gegevens opsla

Wat nu nog een ‘bewerkersovereenkomst’ heet, heet straks een ‘verwerkingsovereenkomst’. ‘Bewerkers’ worden ‘verwerkers’. Externe providers van hostingdiensten zijn niet altijd verwerkers in de zin van de AVG. Wellicht kunnen zij als ‘hosting provider’ worden aangemerkt in de zin van de richtlijn ‘Elektronische handel’. Deze richtlijn regelt de aansprakelijkheid van ‘hosting providers’. Op grond daarvan is een ‘hosting provider’, wanneer zijn dienst bestaat uit de opslag van de door een afnemer van de dienst verstrekte informatie, niet aansprakelijk voor de op verzoek van de afnemer van de dienst opgeslagen informatie. Dit op voorwaarde dat de dienstverlener niet daadwerkelijk kennis heeft van de onwettige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit het onwettige karakter van de activiteiten of informatie duidelijk blijkt, of de dienstverlener, zodra hij van het bovenbedoelde daadwerkelijk kennis heeft of besef krijgt, prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken.

De AVG bepaalt expliciet dat zij de aansprakelijkheidsbepalingen van de richtlijn elektronische handel onverlet laat.

Sommige juristen stellen zich op het standpunt dat een provider van hostingdiensten toch als een verwerker moet worden aangemerkt in de zin van de AVG, wanneer deze provider persoonsgegevens verwerkt. Aanbieders van hostingdiensten die willen voorkomen als verwerker in de zin van de AVG te worden aangemerkt zouden dit, naar mijn mening, kunnen doen door hun klanten ertoe te verplichten persoonsgegevens uitsluitend versleuteld op te slaan, waarbij de klanten zelf de sleutels behouden.

Waar persoonsgegevens extern worden gehost is het in ieder geval aan te raden met deze bedrijven afspraken maakt over de beveiliging, back up, beheer van back ups en dergelijke.

« »