- Door
- Arnout Veenman
- geplaatst op
- 7 januari 2013 12:02 uur
Zodra je persoonsgegevens verwerkt, komt de wet bescherming persoonsgegevens (Wbp) om de hoek kijken. Als de gegevens via een website worden verwerkt zoals bij een webshop, dan is de webhoster in de meeste gevallen een ‘bewerker’ van de persoonsgegevens. Die term bewerker is een term die uit de Wbp voortkomt en geldt voor elke partij die feitelijke controle heeft over de persoonsgegevens.
De webhoster die in beginsel niet eens mag weten welke gegevens hij opslaat en die conform de wet niks mag doen met de gegevens die hij verwerkt, is een bewerker. Nu vind ik dat vanuit dat perspectief bizar, maar de art. 29 Working Party – de club van privacy-autoriteiten uit de 27 lidstaten – stelt toch echt dat dit zo is (pdf), dus daar moeten we ons maar bij neerleggen.
De eigenaar van elke website die persoonsgegevens verwerkt. Het gaat daarbij om heel veel websites, zelfs deze website gezien het achterlaten van reacties mogelijk is en jullie daarbij jullie naam (een persoonsgegeven) invullen. De eigenaar moet als verantwoordelijke voor de verwerking van persoonsgegevens, een overeenkomst sluiten met zijn webhoster waar een aantal zaken in geregeld zijn (art. 14 Wbp). Dat wordt ook wel een bewerkersovereenkomst genoemd, zo legt Louise Dancet van ICTRecht in deze blogpost uit.
Er moeten goede organisatorische maatregelen worden opgenomen in de bewerkersovereenkomst om onrechtmatige verwerking en verlies van de persoonsgegevens worden tegen gegaan. Als kers op de taart moet je als verwerker van de persoonsgegevens er ook feitelijk op toe zien, dat kan eventueel door een mededeling van een Third Party Memorandum (TPM), waaruit blijkt dat dit het geval is.
De meeste kleine webhosters zullen waarschijnlijk niet aan deze eisen kunnen voldoen. Om over controleerbaarheid van hen maar te zwijgen. Althans voor een externe audit is vaak geen geld en elke klant inzicht geven in de werkwijze en rondleiden door het datacenter is ook geen optie. Professionalisering van de branche is daarom belangrijk.
Een wild idee is het om voor kleine webhosters een standaard bewerkersovereenkomst te maken, waarin de maatregelen die minimaal moeten worden genomen staan opgesomd en deze door een externe partij (bijvoorbeeld een stichting) te laten controleren of hier ook aan voldaan is. Dat zou bijvoorbeeld enkel een papieren toetsing kunnen zijn, waarbij de webhoster aan de externe partij uitlegt hoe hij bepaalde zaken heeft geregeld en hiervan bewijzen overlegt. Uiteraard vertrouwelijk. De externe partij kan dan de Third Party Memorandum (TPM) afgeven. Dit draagt op een relatief eenvoudige wijze bij aan verdere professionalisering van de branche en lijkt mij een goed punt voor een branchevereniging om op te pakken.