“Webhoster is (meestal) geen verwerker onder GDPR”, zegt Hof van Beroep in Parijs

In een beslissing van 1 maart 2019 heeft het Parijse Hof van Beroep erop gewezen dat aan specifieke voorwaarden moet worden voldaan opdat hostingproviders aansprakelijk kunnen worden gesteld in geval van onwettige inhoud.

De Franse rechtbank oordeelde in één trek door ook dat hostingproviders op zich geen verantwoordelijke voor de verwerking van persoonsgegevens zijn onder GDPR en als zodanig niet onderworpen zijn aan verplichtingen op grond van de wet op de gegevensbescherming.

Webhoster is geen verwerker volgens GDPR

Advocaat dagvaardt website hosting provider

In dit geval is de eiser een advocaat die beweert dat een bedrijf – waarvan de hoofdactiviteit bestaat in het hosten van websites en het beheer van advertentieruimte – op twee websites, zonder zijn toestemming, een contactpagina heeft opgenomen met vermelding van zijn naam en bedrijfsactiviteit, samen met een vals -betalend- telefoonnummer.

Om een ​​lang en ingewikkeld procedureel verhaal kort te maken: de eiser voerde een kort geding tegen verschillende beklaagden, inclusief het bedrijf dat de betwiste webpagina’s hostte om te proberen al zijn persoonlijke informatie van de websites te zien verwijderen en een provisionele schadevergoeding van € 20.000 te bekomen. De eiser vroeg de rechtbank ook te bevestigen dat het hostingbedrijf een aantal verplichtingen uit de oude Franse privacywet (vervangen door de GDPR) en de informatieverplichtingen uit de Loi pour la Confiance Numérique (bij ons in België de Wet Elektronische Handel) niet had nageleefd.

De rechtbank wees echter alle vorderingen af omdat het hostingbedrijf als hostingprovider enkel dan aansprakelijk kan worden gesteld als het kennis had van de onwettige inhoud. De eiser had met andere woorden de hostingprovider vooraf moeten wijzen op het bestaan van inbreuken.

Het hof van beroep van Parijs bevestigde deze beslissing nu in haar recente arrest.

Op zich is bovenstaande een te verwachten en correcte toepassing van de huidige Franse en Europese regels rond de aansprakelijkheid van internet service providers (in dit geval een hosting provider).

GDPR

Interessanter is dat het Hof van Beroep ook heeft geoordeeld dat de hostingprovider onder GDPR (of voorheen de Franse privacywetgeving) géén verantwoordelijke voor de verwerking van persoonsgegevens is, maar een loutere verwerker.  Om die reden is het niet zijn verantwoordelijkheid om op eigen initiatief actie te ondernemen met betrekking tot de werking van de genoemde websites, zoals het voldoen aan wettelijke informatieverplichtingen onder GDPR of het verkrijgen van toestemming van de betrokkene onder GDPR.

Hiermee geeft het Hof van Beroep in Parijs een expliciete verduidelijking en bevestiging van de rol en de verplichtingen van hostingproviders.  Omdat zij in de meeste omstandigheden niet degene zijn die “het doel en de middelen bepalen voor de verwerking van persoonsgegevens”, wat de basisdefinitie is van een verantwoordelijke voor de verwerking, moeten ze niet voldoen aan de verplichtingen die op de verantwoordelijke voor de verwerking rusten.

Waarom is dit zo belangrijk?

Zowel de oude Belgische als Franse privacywetgeving, alsook de huidige GDPR maken een duidelijk onderscheid tussen enerzijds de verantwoordelijke voor de verwerking en anderzijds de verwerker, elk met eigen verplichtingen onder GDPR.

Het komt aan de verantwoordelijke voor de verwerking van persoonsgegevens toe om ervoor te zorgen dat de verwerking van persoonsgegevens conform GDPR gebeurt en dat de basisprincipes uit de GDPR nageleefd worden.  De verwerking moet proportioneel zijn, er mogen niet meer gegevens verwerkt worden dan nodig zijn, de verwerking en bewaring moeten beperkt zijn in de tijd, de verwerking moet doelgebonden zijn.

Het is bovendien de verantwoordelijkheid van de verantwoordelijke voor de verwerking om te zorgen dat hij of zij over een gepaste rechtsgrond beschikt (opt-in, gerechtvaardigd belang) én om ervoor te zorgen dat aan alle informatieverplichtingen ten aanzien van de betrokkenen wiens gegevens verwerkt worden voldaan wordt.

Een hele boterham, zeker als daaraan toegevoegd wordt dat het ook aan de verantwoordelijke toekomt om te voldoen aan de meldplicht bij datalekken, om als aanspreekpunt met de overheid en met de betrokkenen te fungeren en om ervoor te zorgen dat alle verwerkers veilig en conform hun verwerkersovereenkomst verwerken.

De verwerker op zijn beurt heeft het heel wat makkelijker.  Hij of zij is enkel een onderaannemer ten aanzien van de verantwoordelijke voor de verwerking en zijn verplichtingen komen en grosso modo op neer om de instructies van de verantwoordelijke te respecteren, de data niet voor eigen gebruik aan te wenden en enkel te verwerken binnen het kader van de opdracht en, de data veilig te verwerken en alle nodige hulp en bijstand te verlenen bij controles en data breaches aan de verantwoordelijke.

De verwerker zit op  het vlak van praktische en juridische verplichtingen én op het vlak van potentiële aansprakelijkheid in een veel comfortabelere positie van de verantwoordelijke en precies dat laatste blijkt ook uit het arrest dat we hierboven besproken hebben: de hosting provider ontsnapt aan aansprakelijkheid omdat hij een louter uitvoerende functie heeft, als onderaannemer voor de verantwoordelijke.

Moet je overigens een verwerkersovereenkomst afsluiten met je hosting provider?

Ja, in alle gevallen waarin je hosting provider toegang heeft tot persoonsgegevens waarover je verantwoordelijk bent (bijvoorbeeld omdat hij toegang heeft tot de backend van je website, tot de invulformulieren op je website, tot de analytics tools op uw websites, tot data uit tracking cookies op uw website, …)  wel en het is dan zelfs zo dat je hosting provider je spontaan de nodige verwerkersgaranties op papier zou moeten aanbieden. Veilig omgaan met jouw gegevens is immers de hoeksteen van zijn of haar beroep en de basis van uw vertrouwensrelatie met uw hosting provider.

Weet wel dat je als verantwoordelijke en “eigenaar” voor jouw eigen data verantwoordelijk bent om ervoor te zorgen dat je een verwerkersovereenkomst hebt met al jouw verwerkers alvorens je data met hen deelt.  De boetes bij het niet hebben van verwerkersovereenkomsten die veilige verwerking garanderen lopen op tot 2% van jouw wereldwijde omzet of 10 miljoen euro en die boete is in de eerste plaats voor jou als verantwoordelijke en niet voor de verwerker waar je beroep op deed.  Dring dus aan en zorg voor een schriftelijke verwerkersgarantie. dat kan overigens ook in algemene voorwaarden, in licentievoorwaarden of in elk bindend document tussen jezelf en je dienstverlener. Een afzonderlijke verwerkersovereenkomst is zeker niet altijd nodig.

Vragen rond GDPR?

Bart Van den Brande en de andere leden van ons team zijn graag beschikbaar.  Neem gerust contact op via bart@siriuslegal.be of op + 32 486 901 931