De onverwachte wending die hostingbedrijven wakker moet schudden

Als je een managed hostingdienst runt, EU-gegevens verwerkt of een platform biedt voor data, let op. Die oude gedachte dat klanten al het GDPR-gedoe op hun bord krijgen? Weg ermee.

Tot 2024 pakten boetes altijd de hoofpartij uit. Hostingproviders en cloudbedrijven ontsnapten vaak. Maar 2025 gooide het roer om. Twee recente zaken laten zien hoe regulators nu rechtstreeks toeslaan.

Zaak 1: De NHS-ramp met een boete van £3,07 miljoen

In maart 2025 legde de Britse ICO voor het eerst een data-processor direct een boete op. Advanced Computer Software Group levert IT aan de Britse gezondheidszorg. In 2022 hackten ransomware-aanvallers via een zwak klantaccount binnen. Ruim 82.000 medische dossiers kwamen bloot, van bijna 900 zorgpatiënten.

Belangrijk: de boete kwam niet door het beheer van patiëntrelaties, maar door falende beveiliging van contractueel vastgelegde data.

De ICO vond:

• Geen MFA op systemen met gezondheidsdata
• Zwakke kwetsbaarheidsscans
• Sukkels met patches

Oorspronkelijk £6,1 miljoen, na schikking £3,07 miljoen. Maar de boodschap is helder: Artikel 32 UK GDPR eist passende technische en organisatorische maatregelen. Processors moeten die uitvoeren. Punt.

Geen NHS-boete. Dit trof de processor zelf.

Zaak 2: Data vasthouden kost €1 miljoen

Vijf maanden later oordeelde de Franse CNIL over Mobius Solutions, een Britse SaaS-leverancier voor Deezer-advertenties. Na afloop van het contract hield Mobius de data vast. Sterker: ze gebruikten het voor eigen doelen, zonder toestemming.

Drie overtredingen:

1. Data behouden na contracteinde (schending Artikel 28(3)(g))
2. Verwerken buiten instructies (schending Artikel 28(3)(a))
3. Geen goede verwerkingsregisters (schending Artikel 30)

Boete: €1 miljoen.

Voor hosting relevant: 46 miljoen Deezer-profielen. Geen EU-vestiging, dus directe CNIL-greep. Drie jaar onderzoek leidde tot actie tegen de processor.

Wat dit voor jouw hostingbedrijf betekent

Geen incidenten, maar nieuwe normen. Dit zet vast:

Jij bent aansprakelijk voor beveiliging. Een DPA dekt contracten, geen boetes. Falende controles? Dan treft de regulator jou.

Data wissen is verplicht. Contract weg? Data weg, zoals afgesproken. Zelf gebruiken of bewaren? Directe sanctie, zoals bij Mobius.

Beveiliging is basis. MFA, scans, patches, toegang – in 2025 eisen regulators dit. Geen smoesjes.

Documentatie redt of veroordeelt. Logboeken, audits en retentiebeleid zijn bewijs. Mist het? Dan ga je eraan.

Actieplan voor vandaag

Voor hosting, managed services of SaaS met EU-data:

1. Check je beveiliging. MFA, encryptie, segmentatie, scans overal? Zo nee, risico.

2. Zuiver data-retentie. Automatisering die wist bij einde contract? Back-ups ook. Documenteer alles.

3. Verbeter je DPA's. Duidelijke regels voor beveiliging, wissen en audits. Geen vaagheden.

4. Zet logging op. Bewijs verwerking, toegang en bescherming. Dat is je schild.

5. Overweeg cyberverzekering. Boetes zijn serieus. Helpt bij risico's.

6. Raadpleeg juristen. Nieuwe regels vragen tech- en juridische experts.

De keiharde realiteit

Processor-aansprakelijkheid bestaat sinds GDPR-start in 2018. Regulators kozen controllers als makkelijke prooi. Nu niet meer.

2025: ze gaan voor de data-beheerders. Advanced en Mobius zijn de eerste. Hosting, SaaS, cloud – iedereen in het vizier.

Niet óf, maar wanneer ze bij jou aankloppen. Ben je klaar?

Bij NameOcean zit compliance in Vibe Hosting verweven. Maar het begint bij jou: bouw het in je infra, docs en workflow. Nu. De toon is gezet.