Ben ik aansprakelijk als mijn Wordpress site gegevens heeft gelekt?

In dit artikel:

Een particulier die een vakantiehuis verhuurt en daarvoor een WordPress-site gebruikt, valt niet automatisch buiten de AVG. De uitzondering voor “persoonlijke of huishoudelijke activiteiten” is smal: als de handeling enig verband heeft met een handelsactiviteit – zoals inkomsten uit verhuur – geldt de AVG wel. Daarom kan de Autoriteit Persoonsgegevens optreden wanneer door onvoldoende beveiliging (bijv. een WordPress-hack) persoonsgegevens uitlekken; de plicht tot passende technische en organisatorische maatregelen volgen uit artikel 32 AVG.

Het feit dat je updates “ongeveer eens per week” doet en niet dagelijks controleert, kan meewegen bij de vraag of er sprake is van nalatigheid. Die beoordeling beïnvloedt weer of en hoe hoog een boete kan zijn (artikel 83 AVG). Tegelijk stelt overweging 148 dat boetes aangepast moeten worden als een inbreuk klein is of een boete onevenredig zwaar zou uitpakken; de Nederlandse boetebeleidsregels noemen geen expliciete vrijstellingen voor particulieren, maar het kader moet in lijn met de AVG worden toegepast.

Praktische implicaties: ook als je een externe partij inzet, blijft het jouw verantwoordelijkheid om zorg te dragen voor beveiliging. Het is verstandig om WordPress en plug-ins tijdig te updaten, sterke wachtwoorden en 2FA te gebruiken, regelmatige back-ups te maken en een plan voor incidentmelding klaar te hebben (melding van datalekken kan verplicht zijn). Kortom: verhuur via een website is geen puur privéactiviteit en vereist serieuze aandacht voor privacy en cybersecurity.