ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Juridisch advies / Hostingprovider als bewerker

Als hosting-, SaaS- of cloud-dienstverlener is de kans groot dat de data die wordt opgeslagen op uw servers bestaat uit persoonsgegevens, zoals namen, adressen, telefoonnummers en e-mailadressen, van de klanten van uw klant.

Denk aan een online klantenbeheersysteem of boekhoudprogramma. U moet dan zeer zorgvuldig met deze persoonsgegevens omgaan, want de kans op een datalek of hackers is groot.

De Wet Bescherming Persoonsgegevens (hierna: Wbp) stelt regels voor het opslaan, verzamelen, verstrekken en combineren (kort gezegd: het verwerken) van persoonsgegevens. Daarbij gelden verschillende regels voor de verantwoordelijke en de bewerker, zoals de Wbp ze noemt. De verantwoordelijke is degene die de doelen van en de middelen voor de verwerking van de persoonsgegevens vaststelt. De bewerker is degene door de verantwoordelijke wordt ingeschakeld om de verwerking uit te voeren.

Doel en middelen

Wanneer u een hosting, cloud- of SaaS-dienst aanbiedt waarbij uw klanten gegevens van derden opslaan, bepaalt uw klant het doel. Bij een e-maildienst is het doel communiceren met klanten en uw klant beslist wanneer. Bij een boekhoudsysteem is het doel facturatie en uw klant bepaalt wanneer hij factureert met uw boekhoudsysteem. Dan is uw klant de verantwoordelijke voor de gegevensverwerking.

Logischerwijs bent u dan de bewerker van de persoonsgegevens. U doet namelijk niets anders dan de persoonsgegevens opslaan voor de klant. U heeft geen zeggenschap over de gegevens. U kunt bijvoorbeeld niet zelfstandig besluiten een factuur of nieuwsbrief uit te sturen aan de klanten van uw klant. Maar als de klant opdracht geeft, dan moet u die factuur of nieuwsbrief versturen.

Aansprakelijkheid voor beveiliging

De klant is daarmee degene die door de betrokken personen aangesproken kan worden op schendingen van de Wbp. Maar u staat niet volledig hierbuiten. Uw klant moet namelijk op grond van de Wbp passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens te beveiligen tegen verlies of tegen andere vormen van onrechtmatige verwerking van de persoonsgegevens. Deze maatregelen kan uw klant uiteraard niet nemen wanneer de gegevens niet bij hemzelf, maar bij u op de server worden opgeslagen.

De Wbp bepaalt daarom dat uw klant ervoor zorg dient te dragen dat u een passend beveiligingsniveau biedt om een onrechtmatige verwerking te voorkomen van de persoonsgegevens die hij gaat opslaan in uw software. De klant moet dus bij u nagaan hoe u de opslag van persoonsgegevens heeft geregeld. Worden bestanden bijvoorbeeld versleuteld opgeslagen en wordt er gebruik gemaakt van een SSL-verbinding wanneer er gegevens vanuit de applicatie naar uw server worden verzonden?

Uw klant kan u niet dwingen tot het nemen van enige maatregel. Indien de klant het beveiligingsniveau niet passend vindt, kan hij eigenlijk alleen besluiten besluiten naar een andere aanbieder te gaan of u toch dringend vragen strengere beveiligingsmaatregelen te nemen. Het is immers zijn verantwoordelijkheid hoe de gegevens bij u worden opgeslagen. Voor u geldt dan de vraag of u daarmee in wilt stemmen.

Bewerkersovereenkomst

Als u voor een klant persoonsgegevens opslaat en verwerkt, moet er altijd een overeenkomst tussen u en de klant worden gesloten waarin de afspraken en verplichtingen over een weer worden vastgelegd. In deze zogeheten bewerkersovereenkomst wordt afgesproken

  • voor welke doelen u de gegevens gaat verwerken,
  • met welke middelen u de gegevens gaat verwerken,
  • aan wie u de gegevens mag afstaan,
  • welke beveiligingsmaatregelen u heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen,
  • hoe aan de controle- en correctierechten van de betrokkene wordt voldaan,
  • dat de klant u vrijwaart van aanspraken van derden met betrekking tot de persoonsgegevens.

Het is ook weer de verantwoordelijkheid van uw klant dat deze overeenkomst daadwerkelijk met u wordt gesloten. U zou kunnen overwegen om als extra dienstverlening naar uw klanten toe altijd een standaard bewerkersovereenkomst paraat te hebben die zij kunnen ondertekenen. Veel van uw klanten zijn er waarschijnlijk niet van op de hoogte zijn dat zij verplicht zijn een bewerkersovereenkomst met u te sluiten.

Maak met onze generator in enkele minuten een bewerkersovereenkomst op JuriDox.

Aansprakelijkheid bij datalekken

Wanneer er persoonsgegevens (zoals creditcardgegevens) van de klanten van uw klant op straat komen te liggen waarmee daarna wordt gefraudeerd, kan de betrokkene uw klant aanspreken om de geleden schade te vergoeden. Deze klant moest op grond van de Wbp immers voldoende maatregelen nemen om te waarborgen dat de persoonsgegevens van zijn klanten voldoende beveiligd waren voor een dergelijke onrechtmatige verwerking.

Het zou kunnen dat de fout feitelijk bij u lag (door bijvoorbeeld het ontbreken van voldoende beveiliging). Op grond van de gesloten bewerkersovereenkomst diende u immers ervoor zorg te dragen dat de persoonsgegevens voldoende beveiligd waren. De Wbp bepaalt dan ook dwingend dat de bewerker aansprakelijk is voor de schade voor zover deze door zijn schuld is ontstaan. In de praktijk kan dit erop neerkomen dat de betrokkene u ook (of in plaats van de verantwoordelijke) rechtstreeks aansprakelijk stelt voor de geleden schade. Daarnaast kan het echter ook zo zijn dat de klant de schadevergoeding die hij heeft uitgekeerd op u gaat en kan verhalen. Deze regeling is dwingend: er mag in geen geval ten nadele van de betrokkene van worden afgeweken.

Om niet voor verrassingen te komen staan is het dan ook verstandig in de bewerkersovereenkomst bepalingen op te nemen over aansprakelijkheden en verhaalsrechten over en weer. U kunt bijvoorbeeld afspreken dat indien er – ondanks dat u alle door de klant geëiste beveiligingsmaatregelen heeft genomen – toch een onrechtmatige verwerking van de persoonsgegevens heeft plaatsgevonden, uw klant de daardoor geleden schade niet op kan verhalen.

Hiermee kunt u echter niet beletten dat de betrokkene alsnog u aansprakelijk kan stellen. Tegen een dergelijke claim zou u nog kunnen inbrengen dat de schade niet aan u kan worden toegerekend omdat u naar uw weten het, naar uw en uw klant zijn mening, meest passende beveiligingsniveau voor de gegevens heeft gegarandeerd. Mocht een betrokkene dan toch een claim bij u indienen, dan kunt u contractueel afspreken dat uw klant die aan u zal compenseren.

Maak gratis een notice-and-takedownformulier met onze generator. Of genereer met 20% korting algemene voorwaarden, bewerkersovereenkomsten en méér binnen de hostingbundel op JuriDox.

Dienst aanvraag

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.

Soortgelijke onderwerpen

  • inventarisatie / checklist

    Juridische inventarisatie

    Bent u bezig met een nieuw product of dienst en vraagt u zich af welke juridische aspecten hierbij een rol kunnen spelen? Dan gaan wij graag met u om de tafel om te inventariseren wat voor u belangrijk is en welke stappen u moet nemen om dit te realiseren.

  • contracticoon

    Softwareoctrooi aanvragen

    Octrooi op software? Ja, dat kan. Hoewel de regels een stuk strenger zijn dan voorheen, met name voor business methods, is het mogelijk om software te octrooieren. De belangrijkste vraag is echter altijd of octrooi wel zinvol is. Laat u dus goed adviseren, want een octrooi aanvragen is duur en uiteraard moet dit wel kunnen worden terugverdiend.