image

Juridische vraag: Is een hostingbedrijf verplicht gehoor te geven aan AVG gerelateerde klachten omtrent websites?

woensdag 4 december 2019, 10:33 door Arnoud Engelfriet, 9 reacties
Laatst bijgewerkt: 05-12-2019, 09:16

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Antwoord: Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
04-12-2019, 11:03 door Anoniem
Je kan inderdaad eens beginnen met contact met de klant opnemen dat je een klacht gekregen hebt.

Het is wellicht goed op te merken dat dit niet automatisch hetzelfde is als de spam-problematiek waar je er eigenlijk vanuit moet gaan dat de spammer een veel groter probleem representeert dan alleen de ene klager doet vermoeden en je 'm dus maar beter gelijk van je systemen moet afdonderen.

Zo'n "vergeet me aub"-vraag is juist waarschijnlijker specifiek op de ene klager, en dus kun je best eerst eens contact opnemen en om te beginnen een beetje vriendelijke druk uitoefenen dat de webstekbeheerder zich van z'n taken kwijt. Wat ook best kan betekenen dat'ie een duidelijk verhaal heeft waarom het belang van publiceren toch groter weegt dan het belang van de klager om niet gepubliceerd te worden. Maar zorg dan dus dat'ie contact opneemt met de klager en laat ze het netjes uitzoeken. Ik denk dat dat de eerste taak zou moeten zijn van de hoster als eerste escalatiepunt.

Ook omdat je zoveel mogelijk niet alras wil handelen, want dat opent weer de deur voor klaagmisbruik, zoals bijvoorbeeld de volautomatische copyright-klaagbots op youtube. Die zelfs klagen over aan alle kanten vrijgegeven muziekjes specifiek voor copyrightclaim-vrij youtube-gebruik.
05-12-2019, 01:43 door Anoniem
Dat "hoger in de keten" gaan is laf. Het is net zo laf als, als je een website stalkt, en ze reageren niet, om dan de adverteerders op die site maar te gaan stalken. (Dat laatste zelf meegemaakt, maar gelukkig altijd goede banden met mijn klanten onderhouden.)

Als ik een dedicated server huur, dan is het als een huis huren. Ik krijg de sleutel, en kan doen wat ik wil. Werk ik niet mee met gezeur, dan moet gezeur naar de RECHTER gaan. Als die een bevel geeft, dan moet ik daaraan voldoen. Als een hosting bedrijf mijn water en electra begint af te sluiten omdat ze zelf geen echte kerels zijn, dan moeten ze geen hosting beginnen. Dan heb ik altijd backups liggen, ik verhuis, en heb ik schade van klungelende hosters, dan ga ìk naar de RECHTER.

De enige reden die ik mij voor kan stellen is als het gebruik van mijn server het netwerk van de hoster stoort. Zodat andere klanten er last van hebben. En dan nog kun je eerst dan eens even bellen of zo alvorens stekkers eruit te gaan trekken.

Dat hogerop gaan in de keten doet me aan de scientology zaken denken (Karin Spaink en meerdere slachtoffers) en juridische stalkerij. Een jurist met educatie hoort daar niet aan mee te werken. En ook niet te suggereren dat zulks "normaal" is.

In auteursrechtenzaken kun je de hoster enkel via de rechter afdwingen te vertellen dat ik die server huur. Gaat de hoster eigenhandig op mijn gehuurde server data verwijderen of vernietigen, dan zullen de rapen gaar zijn. Hosters horen geen eigen rechter te spelen. Maar juristen helemaal niet, want die horen dat onderscheid beter te kennen. Het verschil tussen advocaat en juridisch adviseur. Tussen een achtbare deskundige en iemand met een mening.

Ook met privacy kwesties op verhuurde servers heeft een hoster niks te schaften. Dat ligt, uit de aard van hetgeen hij verhuurt, buiten zijn macht. Hij weet enkel aan wie hij verhuurt. Diens privacy hoort hij eveneens te beschermen, tenzij een rechter hem opdraagt dat te vertellen.

Doordat mijn hoster mij de root passwords van de server geeft, die ik vervolgens meteen kan wijzigen, is wat ik verder uitspook op die kasten mijn zaak. Klieren om dan af te sluiten waar ik voor betaal, is het zelfde als van de gemeente eisen, of de huisbaas, dat ie bij buren waar je een probleem mee hebt, de voordeur en de ramen dicht te metselen.

Ik zou het bij mij niet proberen want ik heb meer advocaten al bij het ontbijt verslonden. Hogerop in de keten gaan is stalking. Niet fris.

(Ik ben er niet bang voor hoor, want ik ben zelf een grote privacy freak en ben zelf auteur, dus eer het werk van anderen net zo goed....)
05-12-2019, 11:42 door Anoniem
Door Anoniem: Dat "hoger in de keten" gaan is laf. Het is net zo laf als, als je een website stalkt, en ze reageren niet, om dan de adverteerders op die site maar te gaan stalken. (Dat laatste zelf meegemaakt, maar gelukkig altijd goede banden met mijn klanten onderhouden.)

Als ik een dedicated server huur, dan is het als een huis huren. Ik krijg de sleutel, en kan doen wat ik wil. Werk ik niet mee met gezeur, dan moet gezeur naar de RECHTER gaan. Als die een bevel geeft, dan moet ik daaraan voldoen. Als een hosting bedrijf mijn water en electra begint af te sluiten omdat ze zelf geen echte kerels zijn, dan moeten ze geen hosting beginnen. Dan heb ik altijd backups liggen, ik verhuis, en heb ik schade van klungelende hosters, dan ga ìk naar de RECHTER.

De enige reden die ik mij voor kan stellen is als het gebruik van mijn server het netwerk van de hoster stoort. Zodat andere klanten er last van hebben. En dan nog kun je eerst dan eens even bellen of zo alvorens stekkers eruit te gaan trekken.

Dat soort volk als jij is de pest voor de maatschappij. Lekker doen waar je zelf zin in hebt, lekker niks aantrekken van
opmerkingen van anderen, lamenteren als mensen iets anders bedenken om jou tot rede te brengen, de rechter ermee
opzadelen, en dan ook nog eens suggereren dat men pas in actie mag komen als andere klanten last van je hebben
(waarmee je het zetje geeft in de richting van DDoS attacks).

Maar goed dat snap je zelf vast niet.
05-12-2019, 15:23 door Anoniem
Door Anoniem:
Door Anoniem: Dat "hoger in de keten" gaan is laf. Het is net zo laf als, als je een website stalkt, en ze reageren niet, om dan de adverteerders op die site maar te gaan stalken. (Dat laatste zelf meegemaakt, maar gelukkig altijd goede banden met mijn klanten onderhouden.)

Als ik een dedicated server huur, dan is het als een huis huren. Ik krijg de sleutel, en kan doen wat ik wil. Werk ik niet mee met gezeur, dan moet gezeur naar de RECHTER gaan. Als die een bevel geeft, dan moet ik daaraan voldoen. Als een hosting bedrijf mijn water en electra begint af te sluiten omdat ze zelf geen echte kerels zijn, dan moeten ze geen hosting beginnen. Dan heb ik altijd backups liggen, ik verhuis, en heb ik schade van klungelende hosters, dan ga ìk naar de RECHTER.

De enige reden die ik mij voor kan stellen is als het gebruik van mijn server het netwerk van de hoster stoort. Zodat andere klanten er last van hebben. En dan nog kun je eerst dan eens even bellen of zo alvorens stekkers eruit te gaan trekken.

Dat soort volk als jij is de pest voor de maatschappij. Lekker doen waar je zelf zin in hebt, lekker niks aantrekken van
opmerkingen van anderen, lamenteren als mensen iets anders bedenken om jou tot rede te brengen, de rechter ermee
opzadelen, en dan ook nog eens suggereren dat men pas in actie mag komen als andere klanten last van je hebben
(waarmee je het zetje geeft in de richting van DDoS attacks).

Maar goed dat snap je zelf vast niet.

Amen.
05-12-2019, 17:12 door eMilt
Door Anoniem: Als ik een dedicated server huur, dan is het als een huis huren. Ik krijg de sleutel, en kan doen wat ik wil.
Nou anoniem, zo simpel is het gelukkig niet in Nederland. Als jij een huis huurt en daar bijvoorbeeld een wietplantage gaat bouwen en de verhuurder komt daar achter dan heeft hij alle recht om daar tegen op te treden. Om maar wat te noemen. De verhuurder is zelfs verplicht hier wat aan te doen als het een misdrijf betreft. Het makkelijkste is dan om de politie in te schakelen want die treden daar wel tegen op. Bij overtredingen van de AVG is dat maar de vraag.
05-12-2019, 17:16 door Anoniem
Door Anoniem: Dat "hoger in de keten" gaan is laf. Het is net zo laf als, als je een website stalkt, en ze reageren niet, om dan de adverteerders op die site maar te gaan stalken. (Dat laatste zelf meegemaakt, maar gelukkig altijd goede banden met mijn klanten onderhouden.)
Weet ik niet. Als je wil klagen en de andere partij houdt zich doofstom? Escaleren is het devies.

Ik denk zelfs dat als de rechter je klacht ziet dat ze dan vragen "en wat heeft u zoal verder gedaan om contact te leggen?"

En dan bedoel ik de hoster, niet de adverteerders. Dat is net zoiets als mot hebben met je buren en dan maar hun werkgevers gaan bellen. Ja hallo hee, wacht even. Dat is smerig, want punitatief en daarmee eigenrichting. Net zo goed de hoster vragen om afsluiten want je bent het niet eens met wat er op de site staat. Dat gaat niet aan.

Maar de hoster vragen om contact te leggen als het in eerste instantie niet direct lukt? Daar heb ik geen probleem mee.

Er zijn namelijk best heel veel sites zonder contactinfo, die ook de "bekende" adressen (webmaster, postmaster, abuse, info) niet lezen, of zelfs maar hebben. Je wil niet voor elke scheet naar de rechter moeten hobbelen.

Als ik een dedicated server huur, dan is het als een huis huren. Ik krijg de sleutel, en kan doen wat ik wil. Werk ik niet mee met gezeur, dan moet gezeur naar de RECHTER gaan. Als die een bevel geeft, dan moet ik daaraan voldoen.
Woningcorporatie is vaak de eerste die aangesproken wordt. Huurder van huis verderop klaagt over woonoverlast die hij ervaart in zijn woning, en oh ja die komt toevallig bij jou vandaan.

Als een hosting bedrijf mijn water en electra begint af te sluiten omdat ze zelf geen echte kerels zijn, dan moeten ze geen hosting beginnen. Dan heb ik altijd backups liggen, ik verhuis, en heb ik schade van klungelende hosters, dan ga ìk naar de RECHTER.
Okee, daar kan ik inkomen. Maar evenzogoed, stel ik heb last van verkeer dat van jouw gehuurde server afkomt en jij reageert niet op mijn "hee wat is dat nu?" dan ga ik naar de beheerder van het netwerk, zeggens de hoster, maar als die geen sjoege geeft, de beheerder van het AS of als het echt moet de transit. "Jongens, er komt rotzooi van dat netwerk, ik heb er last van, en ze reageren niet op mijn pogingen contact op te nemen. Help?"

De enige reden die ik mij voor kan stellen is als het gebruik van mijn server het netwerk van de hoster stoort. Zodat andere klanten er last van hebben. En dan nog kun je eerst dan eens even bellen of zo alvorens stekkers eruit te gaan trekken.
Ja, maar we hebben het over escalatie: Er is kennelijk al gepoogd contact op te nemen met de "kleinste" beheerder, en die reageert niet, dus een stap groter. Dan kom je bij de hoster uit.

Maar je kan als hoster wellicht vragen, als het al niet uit de vraagstelling blijkt, of klager de site niet al direct benaderd heeft.

Dat zou een terechte vraag zijn.

Dat hogerop gaan in de keten doet me aan de scientology zaken denken (Karin Spaink en meerdere slachtoffers) en juridische stalkerij. Een jurist met educatie hoort daar niet aan mee te werken. En ook niet te suggereren dat zulks "normaal" is.
Naar de hoster stappen na een weigering aan je verzoek te voldoen zie ik wel een tikkeltje anders dan naar de hoster stappen na geen gehoor bij de "kleinste" beheerder. Dat scientology toen niet alleen de publicist dagvaardde maar ook verscheidene(!) hosters van publicist, en uiteindelijk de bodemprocedure indook, dat ging natuurlijk helemaal nergens over en was gewoon pure intimidatie.

Maargoed, niet alle klagers zijn automatisch niveautje verknipte fanatici.

In auteursrechtenzaken kun je de hoster enkel via de rechter afdwingen te vertellen dat ik die server huur. Gaat de hoster eigenhandig op mijn gehuurde server data verwijderen of vernietigen, dan zullen de rapen gaar zijn. Hosters horen geen eigen rechter te spelen. Maar juristen helemaal niet, want die horen dat onderscheid beter te kennen. Het verschil tussen advocaat en juridisch adviseur. Tussen een achtbare deskundige en iemand met een mening.
Nou, bijvoorbeeld brein heeft nogal een handje van ex parte litigatie en dat krijgen ze regelmatig nog toegewezen ook. Oftewel, ik denk dat de jurisprudentie het niet helemaal met je eens is. (Niet dat ik het met brein eens ben. Opheffen die hap.)

Doordat mijn hoster mij de root passwords van de server geeft, die ik vervolgens meteen kan wijzigen, is wat ik verder uitspook op die kasten mijn zaak. Klieren om dan af te sluiten waar ik voor betaal, is het zelfde als van de gemeente eisen, of de huisbaas, dat ie bij buren waar je een probleem mee hebt, de voordeur en de ramen dicht te metselen.
Burgemeesters "sluiten" ook wel eens een pand. Sommigen zijn daar sneller mee dan anderen, en dan mag je er gewoon niet in. Vaak omdat iemand anders iets uitgevroten heeft, een handgranaat aan je deurklink gehangen ofzo.

Oh, en deurwaarders ook. Dat is fijn thuiskomen. (Ik onderhuurde ooit bij iemand die, uh, wel eens vergat dingen te regelen.)

Ik zou het bij mij niet proberen want ik heb meer advocaten al bij het ontbijt verslonden. Hogerop in de keten gaan is stalking. Niet fris.
Nou, als er geen gehoor komt dan is het heel redelijk de hoster te vragen te helpen contact tot stand te brengen. Lang niet alle sites zijn goed met contactinfo bijvoorbeeld. (Zeker met de trend om je maar gewoon wegens arbitraire ideetjes van "oude browser" of "gebruikt tor" oid de complete toegang te ontzeggen. Verbazend grote partijen flikken dat ook.)

Ik denk wel dat je dat onderscheid moet maken en niet alles onder "stalking" moet willen schuiven. Dat is te makkelijk.


Door Anoniem: Dat soort volk als jij is de pest voor de maatschappij. Lekker doen waar je zelf zin in hebt, lekker niks aantrekken van opmerkingen van anderen, lamenteren als mensen iets anders bedenken om jou tot rede te brengen, de rechter ermee opzadelen, en dan ook nog eens suggereren dat men pas in actie mag komen als andere klanten last van je hebben(waarmee je het zetje geeft in de richting van DDoS attacks).

Maar goed dat snap je zelf vast niet.
Hee, even dimmen met je ad hominem. Als je nou wat inhoudelijks te melden had, in plaats van dit laffe karaktermoorden en het slachtoffer de schuld geven.
06-12-2019, 08:32 door Anoniem
Door eMilt:
Door Anoniem: Als ik een dedicated server huur, dan is het als een huis huren. Ik krijg de sleutel, en kan doen wat ik wil.
Nou anoniem, zo simpel is het gelukkig niet in Nederland. Als jij een huis huurt en daar bijvoorbeeld een wietplantage gaat bouwen en de verhuurder komt daar achter dan heeft hij alle recht om daar tegen op te treden. Om maar wat te noemen. De verhuurder is zelfs verplicht hier wat aan te doen als het een misdrijf betreft. Het makkelijkste is dan om de politie in te schakelen want die treden daar wel tegen op. Bij overtredingen van de AVG is dat maar de vraag.

Dat laatste zal in de loop der tijd zekerder worden. Bij de AVG (GDPR) is een van de bedoelingen dat de strengheid van de handhaving door de toezichthoudende autoriteiten niet al te verschillend wordt. Daar is zelfs een orgaan voor opgericht, het European Data Protection Board. Vroeger of later, al dan niet met een correctierichtlijn, kan je verwachten dat de (inderdaad momenteel relatief lakse) AP zich bij de consensus aan moet sluiten. En de consensus in Europa is dat er betrekkelijk streng gehandhaafd moet worden.
06-12-2019, 09:17 door Power2All
Ik vind dit een goede juridische discussie, en ook wel interessant (aangezien ik ook een paar sites host voor derden).
Probleem waar ik vooral mee zit, is dat een heleboel Europese bedrijven de DMCA als een wettige middel toepassen op hun hosting, terwijl die hele wetgeving niks met Europa eigenlijk te maken heeft, maar wel wordt behandeld als zodanig.
Laat die hele DMCA lekker waar het hoort, in Amerika, en wil je een issue melding omtrent copyright/licentie meldingen, doe je dat via de middelen die Europa te bieden heeft.

Maar goed, dat is weer een hele andere hoek waar ik me als admin af en toe mee worstel, vooral die invalide DMCA meldingen die kant nog wal vaak slaan, maar wel als zodanig wordt geaccepteerd door providers, terwijl die niet handelen met Amerikanen....

Als er iemand een server afhuurt, dan is de huurder verantwoordelijk voor wat er op zijn server gebeurd.
Een provider is op dat moment alleen de hardware aanbieder, maar dit ligt wel weer anders als dit alleen puur om webhosting gaat. Aangezien de provider ook moet zorgen dat zijn platform veilig is, heeft deze wel iets meer te maken met de websites van zijn klanten, dan dat een persoon een dedicated server of collocated server heeft.
06-12-2019, 19:22 door Anoniem
Door Power2All: Probleem waar ik vooral mee zit, is dat een heleboel Europese bedrijven de DMCA als een wettige middel toepassen op hun hosting, terwijl die hele wetgeving niks met Europa eigenlijk te maken heeft, maar wel wordt behandeld als zodanig.
Geen idee hoe dat precies zit maar ben bang dat zelfs politie etc. net doen of de DMCA hier ook werkt ("notice and takedown best practices"). Maar dat is wel iets om met je hoster over te kleppen.

Nu kun je dat niet met een "dozenschuiver", hun marges zijn veel te klein voor zorgvuldige afwegingen dus schoppen ze liever een klantje weg bij de eerste blafbrief dan dat ze hun poot stijfhouden en dus een rechszaak riskeren. Maar heb je een goede relatie met je hoster dan hebben ze ook je mobiele nummer en kunnen ze je inseinen als er iets misgaat.

Als er iemand een server afhuurt, dan is de huurder verantwoordelijk voor wat er op zijn server gebeurd.
Een provider is op dat moment alleen de hardware aanbieder, maar dit ligt wel weer anders als dit alleen puur om webhosting gaat. Aangezien de provider ook moet zorgen dat zijn platform veilig is, heeft deze wel iets meer te maken met de websites van zijn klanten, dan dat een persoon een dedicated server of collocated server heeft.
Dan kom je de vraag "waar trek je de grens?" tegen.

Als de dienst is "je krijgt een website, content zelf toevoegen", dan zou een hoster met dat root wachtwoord wel software updates mogen uitvoeren, maar ik zou me hoogst op de teentjes getrapt voelen als ze "even" een bestandje wissen zonder hele goede reden. En nee, "mailtje van een klager" is niet voldoende. Ik verwacht dat die klager eerst mij aanspreekt en dat de hoster ook eerst navraag doet. Tenzij klager met een dwangbevel komt oid, maargoed, dan zit er dus een rechterlijke (evt. ex parte) beschikking tussen die ik de hoster dan weer niet kan aanrekenen.

Maargoed, het is dus wel zaak dat strict vast te leggen. "Wij doen dit en niets anders."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.