Hostingvoorwaarden review: geheimhouding van data van de klant

Drie hostingbedrijven die werken met zelfgemaakte voorwaarden krijgen gratis nieuwe van ons, in ruil voor een openbare review van de voorwaarden die ze nu hanteren. De komende weken zullen we één of twee berichten plaatsen waarbij we steeds een ander aandachtspunt uitlichten omtrent algemene voorwaarden, en dan de voorwaarden van de drie deelnemende hosters er naast leggen om te zien wat er beter kan. Deze week aandacht voor het onderwerp Geheimhouding.Een goede hoster blijft uit bestanden van zijn klant, maar soms moet je wel (een gecorrumpeerde mailbox of een hack in het CMS). Welke geheimhouding beloof je dan?

Een hostingdienstverlener slaat gegevens op die de klant aanlevert. Webpagina’s zijn natuurlijk openbaar, maar er is genoeg informatie die vertrouwelijk is. Denk aan wachtwoorden en configuratieinstellingen, of databanken met klantgegevens. Of eenvoudigweg de mailbox van de klant. Daar hoor je als hostingpartij niet aan te komen. Soms moet je wel, bijvoorbeeld omdat de database gecorrumpeerd is en het doornemen van alle records de enige manier is om het foute record te vinden. Of een mailbox is ineens vol vanwege een gigantische bijlage of mailbom. Natuurlijk is dit dan toegestaan, ook in gevallen waarin de klant nog niet akkoord is gegaan.

Zomaar in bestanden van klanten kijken is echter een probleem. De klant mag immers vertrouwelijkheid verwachten, en zonder goede reden mag de hoster die niet schenden. Strafbaar is het niet; de wet kent alleen een verbod om klantinformatie te lezen bij internetproviders (aanbieders van een telecommunicatiedienst). Hosters zijn geen internetproviders, en vallen dus buiten de strafwet. Zij mogen dus in principe bij klantbestanden en mailboxen. Maar zonder specifieke wettelijke regels is het lastig te zeggen wat er wel en niet mag. Het komt dus neer op de verwachtingen die je schept: welke redenen hanteer je om bij gegevens te mogen, hoe transparant ben je en wat beloof je je klanten?

Greenhost

Greenhost is duidelijk naar haar klanten:

Greenhost onthoudt zich van het inzien van persoonlijke e-mail of bestanden van klanten en stelt deze niet ter beschikking aan derden, tenzij hiertoe een wettelijke verplichting is, of als de klant handelt in strijd met artikel 3, lid 1 of artikel 3, lid 4.

Een flauwe jurist zou opmerken dat “of tenzij met toestemming van de klant” er niet staat, maar dat hoeft helemaal niet: als de klant toestemming geeft dan mag alles. De AV zijn er om te regelen wat de hoster mag als er géén toestemming is (of wanneer toestemming niet gevraagd hoeft te worden).

De verwijzingen naar artikel 3 betreffen het veroorzaken van overlast door de klant (lid 1) en het overtreden van de gebruiksvoorwaarden (lid 4), waarover we vorige week schreven. Als het CMS van een klant van Greenhost ineens ongebruikelijk veel processorkracht of dataverkeer genereert, en dit levert overlast op, dan mag Greenhost in de bestanden snuffelen om te zien waar dit door komt. Ook als die bestanden privédata bevatten. Hetzelfde geldt als de klant bijvoorbeeld auteursrechten schendt en Greenhost daar een klacht over krijgt. Het bedrijf mag dan de betreffende bestanden analyseren om de klacht te evalueren.

De term “wettelijke verplichting” biedt Greenhost een mogelijkheid om bijvoorbeeld mailboxen af te geven aan Justitie als die daar een vordering toe doet, wat toegestaan is bij verdenkingen van misdrijven waarvan de mailbox bewijs zou kunnen opleveren. Voor de volledigheid zou er nog “of gerechtelijk bevel” bij kunnen, want als je heel strikt leest dan is een gerechtelijk bevel niet hetzelfde als een wettelijke plicht.

Greenhost bepaalt dat zij deze rechten heeft als sprake “is” van een overtreding. Dat klinkt logisch maar die formulering heeft één nadeel: als achteraf blijkt dat er géén sprake was van zo’n overtreding, dan heeft Greenhost formeel gesproken wanprestatie gepleegd. Verstandiger is dan ook om te spreken van “een redelijk vermoeden dat van een overtreding sprake is”. Dan is het al genoeg als Greenhost mocht denken dat de voorwaarden werd overtreden, ook als dat niet zo was. Misschien was dat CMS helemaal niet gehackt maar werd net een complexe upgrade uitgevoerd waarbij veel data werd opgehaald en de processor even piekte.

N+1 Internet Solutions

Bij N+1 troffen we een erg generieke bepaling omtrent geheimhouding:

16.1. Partijen verplichten zich tot geheimhouding omtrent alle vertrouwelijke informatie die zij over de onderneming van de wederpartij ontvangen. Partijen leggen deze verplichting tevens op aan hun werknemers alsmede aan door hen ingeschakelde derden ter uitvoering van de overeenkomst tussen partijen.
16.2. Informatie geldt in ieder geval als vertrouwelijk indien deze door één der partijen als zodanig is aangeduid.

Deze clausule is mooi en generiek, en kan ook tegen de klant worden ingezet als N+1 een vertrouwelijk document aanlevert (bv. over de interne netwerkconfiguratie of een beheerswachtwoord voor een grote klant).

Nadeel is wel dat niet duidelijk is wat ‘vertrouwelijk’ is, afgezien van het in lid 2 genoemde geval dat er “vertrouwelijk” op staat. Maar is een mailbox nu vertrouwelijk? En, nog algemener, kun je bij een door N+1 gehoste mailbox wel spreken van “informatie over de onderneming van de wederpartij”? Wij denken van niet.

Daarnaast ontbreekt een bevoegdheid voor N+1 om door de geheimhouding ‘heen te breken’ als dat nodig is voor bijvoorbeeld het aanpakken van misbruik. Men zou in zo’n geval moeten betogen dat toegang wel mag mits men maar te allen tijde de gelezen informatie geheim houdt. Want “zal geheim houden” kun je lezen als “mag wel inzien mits men het niet doorvertelt”. Maar tegen een boze klant die wil weten waarom zijn mailbox gelezen is, is dat een lastig betoog. Liever schrijf je expliciet op wat je mag, zodat die discussie snel afgekapt kan worden.

ZZPstudio

Net als N+1 heeft ZZPstudio een generiek beding dat vertrouwelijke informatie vertrouwelijk zal worden behandeld. Bij ZZPstudio vinden we dit logischer: zij ontwikkelt immers websites en software, en daarbij zal de klant veel eerder vertrouwelijke informatie aan het bedrijf aanleveren. Een clausule over geheimhouding is dan erg prettig.

Eveneens net als bij N+1 zien wij geen bevoegdheid voor ZZPstudio om mailboxen of bestanden van de klant door te nemen als dat nodig is voor technische storingen of het tegengaan/opsporen van misbruik. Ook ZZPstudio zou kunnen aangeven dat zij dit wel mag, mits zij maar geheimhouding bewaart over wat ze daarbij tegenkomt. Maar een expliciete bepaling is echt handiger.

Meelezende hosters: wanneer zouden jullie mailboxen of bestanden van klanten doorlezen? En mag dat van jullie voorwaarden?


Arnoud Engelfriet is partner bij ICTRecht sinds juni 2008. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.

Dit artikel verscheen gisteren op de blog van ICTRecht.

Over Arnoud Engelfriet

Arnoud Engelfriet is partner bij ICTRecht sinds juni 2008. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt.

Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.