GDPR-bøter på vei rett mot deg i 2025: Hostingbransjens alarmsignal
Skiftet ingen turte håpe på (men alle burde ha sett)
Kjør du managed hosting, håndterer EU-kundedata eller driver en plattform med dataflyt? Glem tanken på at kundene tar hele GDPR-regninga. Den er historie.
De første sju årene med GDPR gikk det etter et fast mønster: Breaches traff selskapet nærmest brukerne. Hosting-leverandører, sky-tjenester og infrastruktur? De slapp unna med skrukjør i rapportene. Fra 2018 til 2024 var det sånn.
2025 snudde alt på hodet. To ferske vedtak viser det klart – og burde vekke enhver hosting-sjef om natta.
Sak 1: NHS-kollapsen med £3,07 millioner i bot
I mars 2025 gikk UKs ICO løs på noe nytt: De bøtelagte en ren databehandler.
Advanced Computer Software Group leverer IT til NHS i Storbritannia. August 2022 brast det: Ransomware kom inn via en kunde uten multi-factor authentication. Nesten 900 pasienters journaler, pluss data på 82 946 personer, lå åpne.
Poenget? De fikk bot ikke for pasientkontakt, men for å svikte sikkerheten de var pålagt å ivareta.
ICO fant hullene:
- Manglende MFA på helse-data-systemer
- Ingen helhetlig sårbarhetsskaning
- Svak patch-rutine
Opprinnelig £6,1 millioner. Etter forlik: £3,07 millioner. Budskapet er krystallklart: Article 32 i UK GDPR krever "tilsvarende tekniske og organisatoriske tiltak". Kontrakt gir deg ansvaret. Punktum.
Ikke NHS som betalte. Behandleren.
Sak 2: Data-hjelpetappen som kostet €1 million
Fem måneder seinere slo Frankrikes CNIL til mot Mobius Solutions, en britisk SaaS-aktør som håndterte reklamedata for Deezer.
Etter kontrakts-slutt beholdt Mobius dataene. Verre: De brukte dem til å booste egen tjeneste – uten tillatelse.
CNIL pekte på tre brudd:
- Oppbevaring etter kontrakts-slutt (Article 28(3)(g))
- Behandling uten instruksjoner (Article 28(3)(a))
- Manglende prosess-loggførsel (Article 30)
Bot: €1 million.
Hosting-folks mareritt: 46 millioner Deezer-brukere involvert. Mobius uten EU-base – CNIL kunne gå rett på dem, ingen omvei. Tre års gransking (2022–2025) endte i direkte straff.
Hva det betyr for din hosting-drift
Dette er ikke tilfeldigheter. Det er nye standarder. Her er kjernepunktene:
Du står alene for sikkerheten din. DPA med kunder flytter ikke regulatorisk risiko. Feiler du på tekniske kontroller, rammer boten deg.
Sletting er et must, ikke valg. Kontrakt ute? Data vekk etter avtalen. "Kanskje-bruk" eller egen gevinst? Se Mobius. Svart-hvitt.
Sikkerhetskrav er jernhard. MFA, sårbarhetsstyring, patching, tilgangskontroll – standard i 2025. Audit avslører mangler. Regulator bøter.
Dokumentasjon er liv eller død. Manglende logger hos Mobius ga ekstra straff. Dine prosessbeskrivelser, auditer, loggfiler og retningslinjer er bevis. Kan du ikke vise compliance, taper du.
Tiltakslista di – nå
Driver du hosting, managed tjenester eller SaaS med EU-data? Gjør dette:
Sjekk sikkerhetsoppsettet. MFA, kryptering, segmentering, scanning – alt på plass for persondata? Ellers er du sårbar.
Kartlegg dataoppbevaring. Automatikk som sletter ved kontrakts-slutt? Eller henger det i backup? Sett klare frister og følg dem.
Skjerp DPA-ene. Definer sikkerhet, sletting og audit-rettigheter tydelig. Dropp vagheter.
Bygg logging og overvåking. Bevis på hva du behandler, hvem som ser og hvordan du sikrer. Det er skjoldet ditt.
Vurder cyber-forsikring. GDPR-boter blir ekte. Dekker ikke alt, men er smart risikohåndtering.
Hent jurister inn. 2025-skiftet er ferskt. Trenger tech-savvy rådgivere.
Den sure realiteten
Prosessor-ansvaret har ligget i GDPR siden 2018. Regulatorer valgte controller-ne tidligere – enklere mål.
2025 sa de stopp. Nå går de etter de som holder og sikrer dataene. Og de fortsetter.
Advanced og Mobius er starten. Hosting, SaaS, cloud – alle med EU-data er neste.
Spørsmålet er ikke om. Det er når. Er du klar?
Hos NameOcean har vi Vibe Hosting med compliance i kjernen. Men det handler ikke om å kjøpe – det er å bygge det inn i alt: infrastruktur, papirer, drift.
Kom i gang. Precedensene er satt.