Skiftet ingen såg komma (men alla borde ha fattat)

Driver du managed hosting, hanterar kunddata i EU eller kör en plattform för datatjänster? Glöm tanken att kunderna tar hela GDPR-ansvaret. Den eran är över.

Under GDPR:s första sju år slog böterna alltid mot den som ägde kundrelationen. Hostingleverantörer, molnplattformar och infrastruktur escaped ofta. Från 2018 till 2024 handlade det om controllers. Inte processors.

2025 vände det. Två beslut visar vägen – och de borde väcka varje hosting-VD på natten.

Fall ett: NHS-katastrofen som kostade 3,07 miljoner pund

I mars 2025 slog UK:s ICO till på ett nytt sätt: direktböter mot en processor.

Advanced Computer Software Group levererar IT till brittiska sjukvården. Augusti 2022 hackades de via ett kundkonto utan multi-factor authentication. Nästan 900 patienters journaler läckte – del av 82 946 poster.

Nyckeln: Advanced dömdes för att de inte säkrade data de kontraktsmässigt skulle skydda.

ICO pekade på felen:

• Saknad MFA på hälsodata-system
• Inga breda sårbarhetsscans
• Dålig patch-hantering

Ursprunglig böter: 6,1 miljoner pund. Sänkt till 3,07 efter förlikning. Budskapet: Artikel 32 i UK GDPR kräver "lämpliga tekniska och organisatoriska åtgärder". Processorer måste fixa det. Punkt slut.

Inte NHS som åkte på notan. Processorn.

Fall två: Databevaringsfällan som kostade 1 miljon euro

Fem månader senare kom Frankrikes CNIL med ett prejudikat mot Mobius Solutions, en brittisk SaaS-firma som hanterat reklamdata åt musikstreamern Deezer.

Efter kontraktsslut behöll Mobius datan. Värre: de använde den för egna syften utan tillåtelse.

CNIL listade tre brott:

1. Behöll data efter kontraktsslut (Artikel 28(3)(g))
2. Bearbetade utanför instruktioner (Artikel 28(3)(a))
3. Saknade register över bearbetning (Artikel 30)

Böter: 1 miljon euro.

För hosting är det här extra relevant. 46 miljoner Deezer-användare påverkades. Mobius saknade EU-etablering, så CNIL körde rakt på. Tre års utredning (2022–2025) slutade med direktåtgärd mot processorn.

Varför det drabbar din hosting-verksamhet

Det här är inga undantag. Prejudikat som förändrar spelet:

Du svarar för din säkerhet. DPA överför kontrakt, inte regulatoriskt ansvar. Misslyckas du med tekniska kontroller? Böter mot dig.

Databorrning är inte valfritt. Vid kontraktslut: radera enligt avtal. "Ifall att"-bevarande leder till böter. Mobius visar det svart på vitt.

Säkerhetskrav är absoluta. MFA, sårbarhetshantering, patchar, åtkomstkontroller – standard 2025. Granskning avslöjar luckor. Regulatorer straffar.

Dokumentation är ditt vapen. Saknar du loggar över bearbetning, incidenter och retention? CNIL ser det som brott. Bevis eller dömd.

Vad du gör idag

Kör du hosting, managed services eller SaaS med EU-data? Så här agerar du:

1. Granska säkerhetsuppsättningen. MFA, kryptering, nätverkssegmentering, sårbarhetsscans – allt på plats för persondata? Annars riskzon.

2. Kontrollera retention. Slutar kontrakt? Automatisk radering? Dokumentera perioder och verkställ.

3. Uppgradera DPA:er. Specificera säkerhet, radering och revisionsrätt. Inga vaga formuleringar.

4. Bygg loggning och övervakning. Bevis på vad du bearbetar, vem som når och hur du skyddar. Det räddar dig.

5. Teckna cyberförsäkring. GDPR-böter är verkliga. Täcker inte allt, men del av riskhanteringen.

6. Hämta juristhjälp. 2025-skiftet är nytt. Behöver tech- och legal-experter.

Den jobbiga sanningen

Ramen för processor-ansvar funnits sen GDPR startade 2018. Regulatorer valde controllers – enklare mål.

2025 vaknade de. Nu jagar de de som håller och säkrar datan. Advanced och Mobius är först. Inte sista.

Varje hosting-företag, SaaS och cloud med EU-data är måltavla.

Frågan är inte om. Utan när de knackar på din dörr.

På NameOcean har vi byggt Vibe Hosting med compliance i grunden. Det handlar inte om att köpa sig fri – utan att väva in det i infrastruktur, dokumentation och drift.

Börja nu. Prejudikaten är satta.