GDPRist

  • Waarom de GDPR verplicht tot een goede match tussen hoster en klant

    7 maart 2018

    Een van de meest wezenlijke onderwerpen bij de GDPR voor hosters is de vraag welke hostingdienst geschikt is voor welke klant. Het is een misverstand dat de GDPR enkel gaat over dat persoonsgegevens veilig worden opgeslagen. Het gaat bijvoorbeeld ook om dat de persoonsgegevens beschikbaar zijn en blijven, deze niet zomaar verloren kunnen gaan en dat wanneer persoonsgegevens wel moeten worden gewist, deze tijdig van alle systemen inclusief backups worden gewist.

    Dit heeft grote gevolgen voor diensten als webhosting. Op dit moment is het bij webhosting veelal een kwestie van one-size-fits-all. Echter met de GDPR kan de hoster als de klant zich dat niet meer permitteren. Er zal echt moeten worden gekeken of er qua GDPR-compliance een match is tussen de hostingdienst en de manier waarop de klant deze gaat gebruiken.

    Stel je hebt een klant die medische gegevens verwerkt. Die zijn extra gevoelig. Daarom is extra beveiliging op zijn plaats. Daarnaast zijn medische gegevens niet alleen gevoelig ook zijn de gegevens belangrijker voor de personen van de betrokkenen (eindgebruikers) dan bijvoorbeeld historische bestellingen bij een webshop.

    Dit betekent dat er bij medische gegevens het nóg belangrijker dat de gegevens niet zomaar verloren kan gaan. Daardoor zul je bij medische gegevens eerder redundante opslag van de persoonsgegevens moeten hebben en (near) realtime backups maken dan bij een webshop.

    Als hoster is het ook nóg belangrijk om je omgeving schoon te houden van klanten die narigheid aantrekken. Websites met betrekking tot bijvoorbeeld Habbo-hotel kunnen bijvoorbeeld een magneet voor DDoS-aanvallen zijn. Wanneer er op dezelfde server of infrastructuur meer kritische persoonsgegevens worden verwerkt, dan kan daarmee de GDPR-compliance met betrekking tot die andere websites in gevaar komen omdat die persoonsgegevens door een DDoS-aanval ook onbereikbaar worden.

    Een hoster moet daarom goed kijken op welke manier zijn diensten gebruikt worden en welke klanten er worden geaccepteerd. Onder de GDPR kun je als hoster namelijk zelf ook aansprakelijk voor als er iets fout gaat met de persoonsgegevens die klanten bij je verwerken. Dat je niet op de hoogte was van wat je klant deed is dan geen excuus. Je moet afspraken met met je klanten als hoster over waar ze dienst voor gebruiken.

    Natuurlijk is er ook zoiets als een verwerkersovereenkomst. Die moet er ook zijn. In die verwerkersovereenkomst moeten ook een aantal zaken worden gespecificeerd zoals het soort persoonsgegevens dat wordt verwerkt en waar de hostingdienst voor wordt gebruikt. Als hoster ben je verantwoordelijk voor die soort verwerking. Dus als je de klant als hoster gewoon wat laat invullen en je controleert dat niet, dan ben je nog steeds gewoon aansprakelijk tegenover (derden) betrokkenen wanneer er iets fout gaat dat je had moeten voorkomen.

    Het is voor hosters daarom heel belangrijk om te kijken waar hun klanten hun diensten voor gaan gebruiken. Klakkeloos elk gebruik van een hostingdienst van elke klant accepteren is een strategie die niet aan te raden is en kan zelfs de continuïteit van het bedrijf in gevaar brengen gezien de aansprakelijkheid tegenover betrokkenen die in het geval van een incident dat te voorkomen was, die kan ontstaan.

    mr. Arnout Veenman
    JURICT

Over the Client Side

the Client Side is het platform voor de digitale infrastructuur sector.

alpha Publieke alpha-versie