Support 24/7
OSS
 Kontrolpanel
Kontosaldo:    
GDPR-bøder rammer hosting-branchen hårdt i 2025 – er du klar?

GDPR-bøder rammer hosting-branchen hårdt i 2025 – er du klar?

Apr 10, 2026 gdpr data protection hosting compliance data processor liability regulatory enforcement cloud security saas compliance data retention cyber risk management

Skiftet, ingen hosting-firma havde regnet med

Hvis du driver managed hosting, håndterer EU-data eller leverer data-tjenester, så læs med. Den gamle idé om, at kunderne tager hele GDPR-reglen? Den er ovre.

I de første syv år med GDPR ramte bøderne altid den, der ejede kunden. Hosting-udbydere, cloud-leverandører og infrastruktur-firmaer slapp med en nævning i rapporten. Regulatorerne gik efter de store fisk fra 2018 til 2024.

Men 2025 vendte det op og ned. To beslutninger viser det klart – og de burde bekymre enhver hosting-leder.

Sag 1: NHS-kollapsen med 3,07 millioner pund i bøde

I marts 2025 gjorde britiske ICO noget nyt: De bødedde en data-processor direkte.

Advanced Computer Software Group leverer IT til NHS i Storbritannien. I august 2022 kom ransomware ind via en kunde-konto uden multi-factor authentication. Det ramte journaler fra 900 pleje-patienter – i alt data på 82.946 personer.

Nøglen? Advanced fik bøden, fordi de ikke sikrede dataene, de havde kontrakt på at beskytte.

ICO fandt huller i:

  • Manglende MFA på systemer med sundhedsdata
  • Ingen fuld scanning for sårbarheder
  • Dårlig håndtering af patches

Først ville bøden være 6,1 millioner pund. Den faldt til 3,07 millioner efter forlig. Men budskabet er klart: Artikel 32 i UK GDPR kræver "passende tekniske og organisatoriske sikkerhedstiltag". Processoransvar er ikke forhandlingsbart.

NHS slapp. Processoren fik regningen.

Sag 2: Data-bevaringsfælden med 1 million euro i straf

Fem måneder senere slog franske CNIL til mod Mobius Solutions, en britisk SaaS-udbyder, der havde håndteret annoncedata for musikstreameren Deezer.

Efter kontraktens slut beholdt Mobius dataene. Endda værre: De brugte dem til at forbedre egen tjeneste uden tilladelse.

CNIL pegede på tre overtrædelser:

  1. Beholdt data efter kontraktsslut (brud på Artikel 28(3)(g))
  2. Behandlet data uden controllerens instrukser (brud på Artikel 28(3)(a))
  3. Manglende registre over behandling (brud på Artikel 30)

Bøden: 1 million euro.

Det rammer hosting hårdt. 46 millioner Deezer-brugerdata var involveret. Mobius havde ingen EU-base, så CNIL kunne slå direkte til. Tre års efterforskning fra 2022 til 2025 førte til bøden mod processoren.

Hvad betyder det for dit hosting-firma?

Disse sager er ikke undtagelser. De sætter præcedens.

Du står selv for sikkerheden. En data processing agreement flytter ikke reguleringsrisikoen. Mangler du tekniske tiltag, kommer bøden til dig.

Slet data, når kontrakten slutter. Behold ikke data "til senere" eller til egen udvikling. Mobius-sagen viser: Det er sort-hvidt.

Sikkerhed er krav, ikke valg. MFA, sårbarhedshåndtering, patches og adgangskontrol er must i 2025. Audits afslører mangler. Regulatorer bøder.

Dokumentation er din redning – eller undergang. Manglende logs over behandling, audits og retention var separat brud hos Mobius. Uden beviser antages overtrædelse.

Handlingsplan for dig – nu

Driver du hosting, managed services eller SaaS med EU-data? Gør dette:

  1. Tjek sikkerheds-setuppet. Har du MFA, kryptering, netværkssegmentering og scanning på alle persondata-systemer? Ellers er du sårbar.

  2. Gennemse data-slettelse. Fjerner automationen data ved kontraktsslut? Tjek backups og retention-regler.

  3. Opdater DPAs. Specificér sikkerhed, sletning og audit-rettigheder klart. Undgå vage formuleringer.

  4. Sæt logging og overvågning op. Bevis hvad du behandler, hvem der tilgår og hvordan du sikrer. Det er dit forsvar.

  5. Overvej cyber-forsikring. GDPR-bøder rammer hårdt. Det dækker ikke alt, men det er smart risikostyring.

  6. Få juridiske eksperter ind. 2025-skiftet er nyt. De skal kende både tech og lov.

Den hårde sandhed

Reglerne om processoransvar har været der siden GDPR startede i 2018. Regulatorer valgte bare controllere som mål – lettere at ramme.

I 2025 gik de efter dem, der holder og sikrer dataene. Og de fortsætter.

Advanced og Mobius er de første. Hosting-udbydere, SaaS og cloud-firmaer med EU-data er nu på listen.

Spørgsmålet er ikke "om". De har allerede gjort det. Spørgsmålet er: Er du klar?

Hos NameOcean har vi bygget Vibe Hosting med compliance i kernen. Det handler ikke om at købe det – det handler om at integrere det i infrastruktur, dokumentation og daglig drift.

Kom i gang i dag. Præcedensen er sat.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE ZH-HANS EN