Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Webhoster, ik heb een bewerkersovereenkomst nodig (opinie)

  • Door
  • Arnout Veenman
  • geplaatst op
  • 7 januari 2013 12:02 uur

Zodra je persoonsgegevens verwerkt, komt de wet bescherming persoonsgegevens (Wbp) om de hoek kijken. Als de gegevens via een website worden verwerkt zoals bij een webshop, dan is de webhoster in de meeste gevallen een ‘bewerker’ van de persoonsgegevens. Die term bewerker is een term die uit de Wbp voortkomt en geldt voor elke partij die feitelijke controle heeft over de persoonsgegevens.

De webhoster die  in beginsel niet eens mag  weten welke gegevens hij opslaat en die conform de wet niks mag doen met de gegevens die hij verwerkt, is een bewerker. Nu vind ik dat vanuit dat perspectief bizar, maar de art. 29 Working Party – de club van privacy-autoriteiten uit de 27 lidstaten – stelt toch echt dat dit zo is (pdf), dus daar moeten we ons maar bij neerleggen.

De eigenaar van elke website die persoonsgegevens verwerkt. Het gaat daarbij om heel veel websites, zelfs deze website gezien het achterlaten van reacties mogelijk is en jullie daarbij jullie naam (een persoonsgegeven) invullen. De eigenaar moet als verantwoordelijke voor de verwerking van persoonsgegevens, een overeenkomst sluiten met zijn webhoster waar een aantal zaken in geregeld zijn (art. 14 Wbp). Dat wordt ook wel een bewerkersovereenkomst genoemd, zo legt Louise Dancet van ICTRecht in deze blogpost uit.

Er moeten goede organisatorische maatregelen worden opgenomen in de bewerkersovereenkomst om onrechtmatige verwerking en verlies van de persoonsgegevens worden tegen gegaan. Als kers op de taart moet je als verwerker van de persoonsgegevens er ook feitelijk op toe zien, dat kan eventueel door een mededeling van een Third Party Memorandum (TPM), waaruit blijkt dat dit het geval is.

De meeste kleine webhosters zullen waarschijnlijk niet aan deze eisen kunnen voldoen. Om over controleerbaarheid van hen maar te zwijgen. Althans voor een externe audit is vaak geen geld en elke klant inzicht geven in de werkwijze en rondleiden door het datacenter is ook geen optie. Professionalisering van de branche is daarom belangrijk.

Een wild idee is het om voor kleine webhosters een standaard bewerkersovereenkomst te maken, waarin de maatregelen die minimaal moeten worden genomen staan opgesomd en deze door een externe partij (bijvoorbeeld een stichting) te laten controleren of hier ook aan voldaan is. Dat zou bijvoorbeeld enkel een papieren toetsing kunnen zijn, waarbij de webhoster aan de externe partij uitlegt hoe hij bepaalde zaken heeft geregeld en hiervan bewijzen overlegt. Uiteraard vertrouwelijk. De externe partij kan dan de Third Party Memorandum (TPM) afgeven. Dit draagt op een relatief eenvoudige wijze bij aan verdere professionalisering van de branche en lijkt mij een goed punt voor een branchevereniging om op te pakken.

Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.