Een FG voor de hostingsector

De AVG die vorige maand is ingegaan, stelt een aantal eisen aan een hostingbedrijf die allemaal lastig zijn om aan te voldoen. Je moet een degelijk en transparant privacybeleid optuigen om je klanten inzicht te geven in wat je met hun data doet en hoe zij het kunnen opvragen, je moet een volledig register bijhouden van alle persoonsgegevens-gerelateerde data die je verwerkt. Je moet verwerkersovereenkomsten sluiten met je opdrachtgevers. Allemaal lastige, ingewikkelde zaken. Zeker voor de kleinere spelers in de markt.

Er komt nog een extra uitdaging bij. De AVG stelt dat organisaties in een aantal gevallen een functionaris gegevensbescherming moeten aanstellen. Een Data Protection Officer. De FG is de persoon die er intern voor moet zorgen dat de AVG wordt nageleefd en dat de organisatie compliant is. Een FG is een verplichting voor bedrijven die onder hun kerntaken hebben het verwerken van grote hoeveelheden persoonsgebonden data. En dat is het geval bij veel hosters en cloud providers.

De wet stelt wel een aantal eisen: zo moet deze persoon onafhankelijk zijn, hij moet natuurlijk kennis hebben van de wetgeving, en om belangenconflicten te voorkomen mag het niet een directielid, CTO of CISO zijn. Allemaal logische eisen. De rol van de FG zal hem soms in conflict brengen met de belangen van bepaalde afdelingen van het bedrijf (er is geen marketingmanager die graag zijn met moeite opgebouwde adressenbestanden na bepaalde tijd vrijwillig gaat wissen. Toch moet dat nu om compliant te zijn).

Voor de grotere bedrijven is het aanstellen van en FG wel een opgave, maar niet een onoverkomelijk obstakel. Daar zijn resources aanwezig, en vaak was er toch al een Legal Officer aanwezig. Voor de kleinere is het een hele andere uitdaging. De directeur/eigenaar mag niet, en het personeel is meestal technisch van aard. Zonder juridische achtergrond. En een jurist aantrekken is geen optie, financieel gezien.

Daarom is de brancheorganisatie bezig met het aanstellen van een gezamenlijke, gedeelde FG voor de sector. ISPConnect wil haar leden helpen om dit probleem op te lossen door een DPO aan te stellen die voor al onze leden de basiselementen van compliance kan helpen inrichten.  Denk aan het checken van de documentatie, advies over de inrichting van je register en je beleid enz. Standaard verwerkersovereenkomsten en Algemene Voorwaarden hebben we al voor de leden. Met dit initiatief willen we de dienstverlening nog een stap uitbreiden om ervoor te zorgen dat ook de kleinere partijen op dit gebied compliance kunnen bereiken zonder zichzelf in de problemen te werken.

Natuurlijk kunnen wij ook niet alles regelen. Op het moment dat leden echt behoefte hebben aan hele uitgebreide diensten zoals een Privacy Impact Assessment zullen we ze doorverwijzen. Maar we hopen hiermee wel een echt probleem op te lossen voor onze leden. Samen komen we er wel.

Simon Besteman is directeur van ISPConnect

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.