Moet ik logfiles verstrekken als mijn klant erom vraagt?

Bovenstaande werd mij laatst gevraagd door een van onze klanten in de hostingsector. Mijn klant vroeg zich daarbij af of de privacywetgeving niet in de weg zou staan aan het verstrekken van IP-adressen en dergelijke gelogde gegevens en of er niet eerst een bevel van (een officier van) justitie vereist zou zijn. Mijn antwoord op deze vraag luidt als volgt.

Het beschermen van de privacy van personen is op zich een goed en nobel streven, maar in de relatie tussen de bezoeker en de beheerder van de website, vormt de beheerder de ‘verantwoordelijke’ volgens de Wbp en vormt de hoster slechts een ‘bewerker’.

Hoewel bewerkers ook de taak hebben om bijvoorbeeld passende technische en organisatorische beveiligingsmaatregelen te treffen tegen verlies en ongeautoriseerde verwerking van persoonsgegevens, is het primair aan de verantwoordelijke (de websitehouder) om persoonsgegevens volgens de wet en volgens de afspraken met het datasubject (de bezoeker) te verwerken. De bewerker volgt daarbij de instructies van de verantwoordelijke.

Die rolverdeling heeft tot gevolg dat het voor de hostingprovider als bewerker niet snel gepast is om tegen de websitehouder als verantwoordelijke te zeggen dat deze de persoonsgegevens van diens eigen klanten/bezoekers (datasubjecten) niet kan ontvangen. Dit uiteraard slechts voor zover de hostingprovider de persoonsgegevens ook inderdaad heeft verkregen bij de uitvoering van zijn contractuele plichten aan diens klant.

Als er een reseller tussen zit, is de daadwerkelijke hostingprovider een ‘sub-bewerker’, terwijl de reseller de bewerker is. De websitehouder zien we hier nog steeds als de verantwoordelijke. In deze keten volgt de sub-bewerker in principe de instructies van de bewerker, die weer de instructies van de verantwoordelijke volgt. De privacywetgeving staat er dus ook niet aan in de weg dat de hostingprovider gelogde gegevens verstrekt aan de reseller die weer in opdracht van de websitehouder handelt. Als de hostingprovider reden heeft om te vermoeden dat de reseller niet daadwerkelijk in opdracht van diens klant handelt, kan deze dat nader verifiëren, maar in beginsel kan de hostingprovider als sub-bewerker gewoon de instructies van de reseller als bewerker volgen.

Als het een derde is die gegevens wil over bezoekers van een site, dus niet de websitehouder of de reseller waar die een contract mee heeft, is het een ander verhaal. Dan is grote terughoudendheid gepast, waarbij de hostingprovider pas identificerende gegevens moet verstrekken (zoals IP-adres, of NAW-gegevens) als het werkelijk aannemelijk is dat er sprake is geweest van onrechtmatig gedrag en als de verzoekende partij werkelijk belang heeft bij de verstrekking van die gegevens door de hostingprovider. Maar let op: ook in deze situatie is een gerechtelijk bevel niet altijd noodzakelijk.

Indien de verzoeken van eigen klanten om logs van hun bezoekers/klanten te ontvangen een aanzienlijke administratieve last op de hostingprovider mocht leggen, zou deze kunnen overwegen om voor de afhandeling van dergelijke verzoeken een redelijk (forfetair) bedrag te vragen. Dat zou dan kunnen worden opgenomen in de algemene voorwaarden.


Matthijs van Bergen is juridisch adviseur bij ICTRecht. Hij is gespecialiseerd in telecommunicatierecht en met name de bewaarplicht, alsook grondrechten op internet.

Dit artikel verscheen op 13 augustus 2013 op hostingrecht.nl en is met toestemming op ISP Today overgenomen.

Over Matthijs van Bergen

Matthijs van Bergen is juridisch adviseur bij ICTRecht. Hij is gespecialiseerd in cloud en SaaS, contracten, telecom, digitale informatiebeveiliging en online grondrechten.