Hoe waarborg ik mijn persoonsgegevens?

Als webwinkelier heeft u met veel juridische vraagstukken te maken. Daarom beantwoordt Steven Ras, ICT-jurist bij ICTRecht, in deze rubriek concrete lezersvragen om u zo goed mogelijk door het doolhof van wet- en regelgeving te leiden.

De lezersvraag van deze maand is: ‘Nagenoeg alles voor mijn webwinkel heb ik uitbesteed. Zo ook de hosting en het onderhoud van mijn website. Alle persoonsgegevens staan dus bij deze partij en ik maak me zorgen over de recente beveiligingsproblemen van webwinkels. Kan ik hier juridisch iets voor regelen met mijn webbouwer?’

Tekst: Steven Ras

U bent verantwoordelijk voor de verwerking van persoonsgegevens. De doelen van en de middelen voor de verwerking van de persoonsgegevens worden immers door u bepaald. Uw dienstverlener is de bewerker. De bewerker is namelijk degene die door u als verantwoordelijke wordt ingeschakeld om de verwerking van persoonsgegevens uit te voeren.

Verplicht
Als uw dienstverlener de persoonsgegevens waar u verantwoordelijk voor bent (bijvoorbeeld klantgegevens) niet afdoende beveiligt en deze op straat komen te liggen, dan kunt u onder andere worden aangesproken wegens het schenden van de Wet bescherming persoonsgegevens (Wbp). Op grond van de Wbp bent u namelijk verplicht passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of tegen andere vormen van onrechtmatige verwerking. Aangezien de gegevens bij uw dienstverlener worden opgeslagen, kunt u deze maatregelen niet zelf nemen. U zult dus na moeten gaan hoe de dienstverlener de opslag van persoonsgegevens heeft geregeld. Worden persoonsgegevens bijvoorbeeld versleuteld opgeslagen en maakt de dienstverlener gebruik van een SSL-verbinding?

Overstappen
Deze zaken dient u te regelen in een bewerkersovereenkomst. Het is de vraag of uw dienstverlener met elke klant een bewerkersovereenkomst sluit. Het is niet mogelijk uw dienstverlener te dwingen tot het sluiten van een overeenkomst. Indien uw dienstverlener niet meewerkt, kunt u eigenlijk alleen besluiten over te stappen naar een andere dienstverlener. Let daarom goed op of in de algemene voorwaarden iets geregeld is over persoonsgegevens en het verwerken daarvan. Heeft uw dienstverlener deze gegevens adequaat beveiligd? Verwerkt de dienstverlener de persoonsgegevens alleen in opdracht van u?

Aandachtspunten
Als u er niet zeker van bent dat uw dienstverlener de verplichtingen uit de bewerkersovereenkomst nakomt, dan is het verstandig een bepaling in deze overeenkomst op te laten nemen waarin staat dat u het recht heeft om een audit uit te laten voeren. Overige aandachtspunten voor de bewerkerovereenkomst zijn:

• Wat gebeurt er na afloop van de overeenkomst met de gegevens op de server(s) van uw dienstverlener?
• Wat gebeurt er met de persoonsgegevens bij faillissement van uw dienstverlener?
• Schakelt uw dienstverlener ook weer een partij in die gegevens voor hem verwerkt?
• Neem een boeteclausule op voor het geval dat de bewerkerovereenkomst niet wordt nagekomen door uw dienstverlener.

____________________

Stel uw vraag
Steven Ras is ICT-jurist bij ICTRecht. In deze rubriek gaat hij in op de juridische aspecten van webwinkels. Daarbij hebben de lezers de mogelijkheid om per e-mail vragen te stellen. Stel een vraag aan Steven Ras via s.ras@ictrecht.nl.
____________________

Dit artikel verscheen eerder in Twinkle 10-2011.