Zes aandachtspunten voor uw hostingcontract
Kan je hostingbedrijf je website sluiten als je niet betaalt? In welke mate moet het je data doorspelen aan de overheid? Wanneer gelden zijn technische pannes als overmacht? We onderzoeken de voornaamste juridische aandachtspunten waarop je als klant moet letten als je met een hostingprovider in zee gaat.
1. Een loutere huur van webruimte of geïntegreerde dienstenovereenkomst?
Hosting verloopt soms via geïntegreerde contracten die in de praktijk met een website- of applicatieontwikkelaar als eerste contactpersoon worden afgesloten. Rechtstreeks contracteren met de hostingprovider kan ook. Deze laatste is meestal zelf de eigenaar of uitbater van het datacenter van waaruit de server gehost wordt.
Bovendien kan de wetgeving van het land waar de server gelokaliseerd is ook een rol spelen, onder meer voor regelgevende en fiscale redenen. Hosting bestaat in allerlei vormen: van gratis hostingservers met weinig schijfruimte en bandbreedte, tot hosting waarbij de klant een eigen server huurt of koopt.
Voorts bestaan er verschillende fysieke en virtuele omgevingen waarvoor het recht telkens een passende kwalificatie moet zoeken. Bij gedeelde hosting staan meerdere sites tesamen op dezelfde server, waardoor er soms problemen ontstaan. Als variant daarop worden bij virtual private server-hosting verschillende virtuele zones op eenzelfde server gecreëerd waardoor het lijkt alsof elke site op een verschillende server staat.
Voor de klant is het erg belangrijk om de daadwerkelijke hoster, de eigenaar en locatie van de server te kennen want hosters doen vaak aan resellerhosting, waarbij zij met onderaannemers en partners werken. Enkel bij colocatie weet u als klant met zekerheid dat uw eigen server in de ruimte van een datacenter draait waarbij de provider de operaties opvolgt.
Naarmate er meer bijkomende diensten (domeinnamen, huurlijnen, helpdesk enzovoort) worden aangeboden, kan hosting juridisch eerder als een aannemingscontract dan als huurovereenkomst beschouwd worden, waarop de verouderde regels van het gemene burgerlijk recht van toepassing zijn.
2. Zijn de dienstenniveaus en aansprakelijkheidsbeperkingen van de hoster aanvaardbaar?
Meestal worden de algemene voorwaarden van de hostingprovider als een soort toetredingscontract, van bepaalde of onbepaalde duur, aan de klant voorgelegd. Deze zijn vaak zeer eenzijdig en beperkend in het voordeel van de hoster opgesteld. Maar zoals altijd komt het erop aan transparante en realistisch afspraken te maken.
Elke partij heeft rechten maar ook plichten. Als klant kunt u dus best eerst een aantal offertes van verschillende providers grondig vergelijken en gebruik maken van uw onderhandelingsmarge. De waarde van het hostingcontract doet niet af van de plichten van de hoster.
Deze is aansprakelijk ingeval de hostingoplossing niet functioneert volgens de voorgestelde specificaties en dienstenniveaus zoals vervat in een service level agreement (SLA). Daarin wordt beschreven welk niveau van beschikbaarheid (uptime), transmissiesnelheid en beveiliging wordt gegarandeerd.
De hoster wil zijn aansprakelijkheid voor downtime in geval van onderbrekingen tot een geringe compensatie beperken en in geval van overmacht of fout van derden zelfs totaal uitsluiten. Al kan hij zijn aansprakelijkheid niet helemaal uithollen.
In geval van een geschil kan ook de precontractuele informatie-uitwisseling tussen hoster en klant de aansprakelijkheidsbeoordeling kleuren. Zo zullen herhaalde elektriciteitspannes in het door de hoster gekozen datacenter dat geen afdoende back-upstroomvoorzieningen heeft, ook voor de hoster niet als overmacht gelden, zeker niet wanneer de hosting als een state-of-the-art-oplossing was voorgesteld.
3. Mag de hoster buiten uw wil om bepaalde gegevens aan de overheid of derden doorspelen?
Als je als klant (of bij uitbreiding je werknemers, zakenpartners of eigen klanten) onrechtmatige inhoud in de gehoste omgeving opslaat, is de hoster daar in principe niet aansprakelijk voor, aangezien hij als technisch doorgeefluik deze inhoud niet plaatst of kent.
In het licht van de Belgische wetgeving geniet de hoster van een uitzondering van aansprakelijkheid en heeft deze geen algemene toezichtverplichting omdat er geen controle is over de inhoud die via de server verloopt. Uit voorzorg kan hij de gehoste inhoud wel aan een accepteerbaargebruik-beleid onderwerpen.
Dit bijvoorbeeld om illegale activiteiten, maar soms ook al te zware of bedrijfskritieke toepassingen die eerst niet voorzien waren, via de server van de hoster uit te sluiten. In dit beleid zal de hoster vrijwel altijd een uitzondering maken voor het respecteren van toepasselijke wettelijke vereisten en rechterlijke bevelen, mede afhankelijk van de locatie waar de hoster zijn belangencentrum heeft.
Na lange discussies moeten de meeste hosters in België vanaf begin 2012 communicatie en inhoudelijke gegevens tijdelijk bewaren, met het oog op opsporing van strafrechtelijke inbreuken zoals terrorisme. Een hoster dient dus met de betrokken overheden mee te werken.
Ook moet hij onder bepaalde voorwaarden prompt gevolg geven aan notice and take down-verzoek van een derde partij, indien hij daadwerkelijk en voldoende op de hoogte werd gebracht dat de gehoste inhoud kennelijk inbreuk maakt op bepaalde rechten van die derden, zoals intellectuele eigendom.
De hoster dient daarover zelf geen finaal onderzoek te voeren zoals een rechter, maar kan wel de identiteit op verzoek aan de gerechtelijke instanties doorgeven. Daarnaast kan er ook bijvoorbeeld, in geval van schending van het auteursrecht, een voor de klant onverwacht beschrijvend beslag plaatsvinden met een doorzoeking van de relevante bestanden van een server.
4. Bewaart de hoster uw bestanden veilig en vertrouwelijk volgens de wettelijk normen?
Hoewel de hoster de vertrouwelijkheid van de gegevens moet garanderen, kan deze daarnaast ook een back-upverplichting hebben om de inhoud tijdelijk op een aparte server op te slaan. Normaliter zou hij hiervoor een contractuele toestemming of licentierecht moeten krijgen, zeker als het gaat om inhoud die beschermd is door intellectuele rechten.
Verder zal een hoster in het licht van de privacywetgeving normaliter slechts als "verwerker" worden beschouwd. Wel moet hij strikt de organisatorische en technische instructies van de klant als verantwoordelijke opvolgen om persoonsgegevens veilig en met respect voor de toepasselijke wetgeving te hosten.
Tot slot zal de hoster maximale beveiligingsmaatregelen moeten treffen om informaticacriminaliteit via fysieke of virtuele weg tot de server in het datacenter te voorkomen.
5. Is uw eigen bedrijfsoperatie wettelijk en technisch compatibel met de hosting oplossing?
De klant is verplicht om compatibel informaticamateriaal en geschikte software te gebruiken, en moet de instructies en specificaties van de hoster opvolgen. De klant kan daarbij best gevoelige informatie (waaronder ook persoonsgegevens) versleutelen met sterke encryptie.
Verder is het aan de klant om zich in regel te stellen met alle wettelijke verplichtingen inzake websites, e-commerce, intellectuele eigendommen, persoonsgegevens enzovoort. Soms gelden echter wettelijke beperkingen om in het buitenland te hosten (bijvoorbeeld inzake elektronische boekhouding).
6. Wat ingeval van opschorting en beëindiging van het hostingcontract?
Naast technische problemen kunnen bepaalde onzorgvuldig uitgevoerde onderzoeks- of beslagmaatregelen, bijvoorbeeld op een gedeelde webserver, verregaande gevolgen hebben op alle klanten die van die server afhangen.
Een hostingprovider zal ook gerechtigd zijn om ingeval van aanhoudende en niet-gerechtvaardigde wanbetaling als drukkingmiddel de toegang tot gehoste inhoud op te schorten. De hoster dient de klant daarvan wel vooraf in te lichten. Tot slot moet de hoster in geval van beëindiging de overstap van de klant naar een andere hoster te goeder trouw mogelijk maken.
Patrick Michielsen is advocaat, gespecialiseerd in IT-recht, bij Bird & Bird.
