Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Juridisch advies / Hostingprovider als verwerker

Als hosting-, SaaS- of cloud-dienstverlener is de kans groot dat de data die wordt opgeslagen op uw servers bestaat uit persoonsgegevens, zoals namen, adressen, telefoonnummers en e-mailadressen, van de klanten van uw klant.

Denk aan een online klantenbeheersysteem of boekhoudprogramma. U moet dan zeer zorgvuldig met deze persoonsgegevens omgaan, want de kans op een datalek of hackers is groot.

De Algemene Verordening Gegevensbescherming (hierna: AVG) stelt regels voor het opslaan, verzamelen, verstrekken en combineren (kort gezegd: het verwerken) van persoonsgegevens. Daarbij gelden verschillende regels voor de verwerkingsverantwoordelijke (hierna: verantwoordelijke) en de verwerker, zoals de AVG ze noemt. De verantwoordelijke is degene die de doelen van en de middelen voor de verwerking van de persoonsgegevens vaststelt. De verwerker is degene door de verantwoordelijke wordt ingeschakeld om de verwerking uit te voeren.

DOEL EN MIDDELEN

Wanneer u een hosting, cloud- of SaaS-dienst aanbiedt waarbij uw klanten gegevens van derden opslaan, bepaalt uw klant het doel. Bij een e-maildienst is het doel communiceren met klanten en uw klant beslist wanneer. Bij een boekhoudsysteem is het doel facturatie en uw klant bepaalt wanneer hij factureert met uw boekhoudsysteem. Dan is uw klant de verantwoordelijke voor de gegevensverwerking.

Logischerwijs bent u dan de verwerker van de persoonsgegevens. U doet namelijk niets anders dan de persoonsgegevens opslaan voor de klant. U heeft geen zeggenschap over de gegevens. U kunt bijvoorbeeld niet zelfstandig besluiten een factuur of nieuwsbrief uit te sturen aan de klanten van uw klant. Maar als de klant opdracht geeft, dan moet u die factuur of nieuwsbrief versturen.

AANSPRAKELIJKHEID VOOR BEVEILIGING

De klant is daarmee degene die in veel gevallen door de betrokken personen aangesproken zal worden op schendingen van de AVG. Maar ook u kunt hierop worden aangesproken, of uw klant kan de schade van de betrokkenen op u willen gaan verhalen.

Op basis van de AVG mag uw klant enkel samenwerken met verwerkers die afdoende garanties bieden o.a. op het gebied van beveiliging. Dit betekent dat uw klant op grond van de AVG passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens te beveiligen tegen verlies of tegen andere vormen van onrechtmatige verwerking van de persoonsgegevens, en dat u hierbij dient te ondersteunen.

De AVG bepaalt daarom dat uw klant ervoor zorg dient te dragen dat u een passend beveiligingsniveau biedt om een onrechtmatige verwerking te voorkomen van de persoonsgegevens die hij gaat opslaan in uw software. De klant moet dus bij u nagaan hoe u de opslag van persoonsgegevens heeft geregeld. Worden bestanden bijvoorbeeld versleuteld opgeslagen en wordt er gebruik gemaakt van een SSL-verbinding wanneer er gegevens vanuit de applicatie naar uw server worden verzonden?

Uw klant kan u niet dwingen tot het nemen van enige maatregel. Indien de klant het beveiligingsniveau niet passend vindt, kan hij eigenlijk alleen besluiten naar een andere aanbieder te gaan of u toch dringend vragen strengere beveiligingsmaatregelen te nemen. Daarnaast wordt van u een bepaalde verantwoordelijkheid verwacht inzake uw kennis en advies op het gebied van beveiliging. Het is dan ook van belang dat u inzage heeft in de gegevens die uw klant via uw servers opslaat, zodat u het kunt aangeven als uw beveiliging hiervoor naar uw mening niet geschikt is of dat u hierover van te voren duidelijk bent.

VERWERKERSOVEREENKOMST

Als u voor een klant persoonsgegevens opslaat en verwerkt, moet er altijd schriftelijke afspraken worden gemaakt waarin de verantwoordelijkheden en verplichtingen over een weer worden vastgelegd. In deze zogeheten verwerkersovereenkomst wordt o.a. afgesproken

  • voor welke doelen u de gegevens gaat verwerken,
  • met welke middelen u de gegevens gaat verwerken,
  • aan wie u de gegevens mag afstaan,
  • welke beveiligingsmaatregelen u heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen,
  • hoe aan de rechten van de betrokkene wordt voldaan.

Maak met onze generator in enkele minuten een verwerkersovereenkomst op JuriDox.

AANSPRAKELIJKHEID BIJ DATALEKKEN

Wanneer er persoonsgegevens (zoals creditcardgegevens) van de klanten van uw klant op straat komen te liggen waarmee daarna wordt gefraudeerd, kan de betrokkene zowel uw klant als u aanspreken om de geleden schade te vergoeden. Op grond van de AVG moesten er immers voldoende maatregelen worden genomen om te waarborgen dat de persoonsgegevens voldoende beveiligd waren voor een dergelijke onrechtmatige verwerking.

Het zou kunnen dat de fout feitelijk bij u lag (door bijvoorbeeld het ontbreken van voldoende beveiliging). Op grond van de gesloten verwerkersovereenkomst diende u immers ervoor zorg te dragen dat de persoonsgegevens voldoende beveiligd waren. De AVG bepaalt dan ook dwingend dat de verwerker aansprakelijk is voor de schade voor zover deze door zijn schuld is ontstaan. In de praktijk kan dit erop neerkomen dat de betrokkene u ook (of in plaats van de verantwoordelijke) rechtstreeks aansprakelijk stelt voor de geleden schade. Daarnaast kan het echter ook zo zijn dat de klant de schadevergoeding die hij heeft uitgekeerd op u gaat en kan verhalen. Deze regeling is dwingend: er mag in geen geval ten nadele van de betrokkene van worden afgeweken.

Om niet voor verrassingen te komen staan is het dan ook verstandig in de verwerkersovereenkomst bepalingen op te nemen over aansprakelijkheden en verhaalsrechten over en weer. U kunt bijvoorbeeld afspreken dat indien er – ondanks dat u alle door de klant geëiste beveiligingsmaatregelen heeft genomen – toch een onrechtmatige verwerking van de persoonsgegevens heeft plaatsgevonden, uw klant de daardoor geleden schade niet op kan verhalen.

Hiermee kunt u echter niet beletten dat de betrokkene alsnog u aansprakelijk kan stellen. Tegen een dergelijke claim zou u nog kunnen inbrengen dat de schade niet aan u kan worden toegerekend omdat u naar uw weten het, naar uw en uw klant zijn mening, meest passende beveiligingsniveau voor de gegevens heeft gegarandeerd. Mocht een betrokkene dan toch een claim bij u indienen, dan kunt u contractueel afspreken dat uw klant die aan u zal compenseren.

Maak gratis een notice-and-takedownformulier met onze generator. Of genereer met 20% korting algemene voorwaarden, verwerkersovereenkomsten en méér binnen de hostingbundel op JuriDox.

Ik wil graag meer informatie ontvangen

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.



  • Uw persoonsgegevens gebruiken wij alleen voor het gevraagde contact. Lees de privacyverklaring voor meer informatie.

Soortgelijke onderwerpen

  • Inhouse training

    Wilt u de juridische kennis binnen uw organisatie verhogen? Dan is een inhouse training van ICTRecht iets voor u. ICTRecht verzorgt al jaren met succes juridische trainingen, zowel voor juridische professionals (PO gecertificeerd) als voor algemeen publiek.

  • contracticoon

    Juridische generatoren

    ICTRecht heeft tools ontwikkeld op basis van haar meer dan tien jaar ervaring op het gebied van ICT en Recht, waarmee u als ondernemer prima in staat bent om zelf juridische documenten te maken. Van algemene voorwaarden, arbeidscontracten, bewerkersovereenkomsten, BYOD-reglementen tot NDA’s, EULA’s, Service level agreements. U maakt ze met onze generatoren.