Je hebt een website met een contactformulier. Misschien een webshop. Klantgegevens, e-mailadressen, bestelgeschiedenis. Dat alles staat ergens op een server. En op het moment dat iemand zijn naam en e-mailadres invult op jouw site, ben jij verantwoordelijk voor wat er met die gegevens gebeurt.
De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 van kracht. Acht jaar later zijn de basisprincipes bij de meeste organisaties wel bekend. Maar als het gaat om hosting, zit de duivel in de details. Want je hostingprovider verwerkt die data namens jou. En dat schept verplichtingen waar veel bedrijven overheen lezen.
Hosting en de AVG: wie is waarvoor verantwoordelijk?
De AVG maakt onderscheid tussen twee rollen: de verwerkingsverantwoordelijke en de verwerker. Als je een website draait waarop bezoekers gegevens achterlaten, ben jij de verwerkingsverantwoordelijke. Jij bepaalt welke data je verzamelt en waarvoor. Je hostingprovider is de verwerker: die partij slaat de data op en verwerkt die in jouw opdracht.
Dat onderscheid klinkt simpel, maar het heeft concrete juridische gevolgen. Jij bent verantwoordelijk voor de naleving van de AVG. Niet je provider. Als er iets misgaat met persoonsgegevens op jouw server, kijkt de Autoriteit Persoonsgegevens (AP) naar jou. Dat je een externe partij hebt ingehuurd om de hosting te doen, ontslaat je niet van die verantwoordelijkheid.
De AP is daar overigens steeds serieuzer over geworden. In 2024 legde de toezichthouder een boete op van 290 miljoen euro aan Uber voor onrechtmatige doorgifte van chauffeurdata naar de VS. Clearview AI kreeg 30,5 miljoen euro boete. Dat zijn extreme gevallen, maar ze laten zien dat handhaving geen papieren tijger meer is.
De verwerkersovereenkomst: verplicht, maar vaak ondergeschoven
Artikel 28 van de AVG is glashelder: als je persoonsgegevens laat verwerken door een externe partij, moet je een verwerkersovereenkomst afsluiten. Zowel de verwerkingsverantwoordelijke als de verwerker is aansprakelijk als die overeenkomst ontbreekt.
In de praktijk bieden de meeste hostingproviders een standaard verwerkersovereenkomst aan. Vaak als PDF ergens in de footer van hun website. Het probleem is niet dat ze er niet zijn. Het probleem is dat ze vaak niet gelezen worden. En dat ze niet altijd dekken wat je nodig hebt.
Een verwerkersovereenkomst moet minimaal het volgende regelen:
- Het onderwerp en de duur van de verwerking
- Welke soort gegevens worden verwerkt en van welke categorieën betrokkenen
- De verwerking mag alleen plaatsvinden op basis van jouw schriftelijke instructies
- De verwerker heeft een geheimhoudingsplicht
- Er moeten passende beveiligingsmaatregelen zijn getroffen
- De verwerker mag geen subverwerkers inschakelen zonder jouw voorafgaande toestemming
- De verwerker helpt je bij het voldoen aan privacyrechten van betrokkenen (inzage, correctie, verwijdering)
- De verwerker helpt je bij het melden van datalekken
Dat laatste punt is waar het in de praktijk vaak fout gaat.
De 72-uursregel bij datalekken
Als er een datalek plaatsvindt waarbij persoonsgegevens betrokken zijn, moet je dat binnen 72 uur melden bij de AP. Dat is de wettelijke termijn. Die klok begint te tikken op het moment dat jij als verwerkingsverantwoordelijke "kennis neemt" van het lek.
Maar in de hostingsituatie is het vaak je provider die het lek als eerste opmerkt. Een inbraak op de server, een misconfiguratie, een back-up die onbedoeld toegankelijk was. De vraag is dan: hoe snel informeert je provider jou? Want pas nadat jij het weet, kun je beoordelen of je moet melden bij de AP.
In de verwerkersovereenkomst moet staan dat je provider je "zonder onredelijke vertraging" informeert over beveiligingsincidenten. Maar "zonder onredelijke vertraging" is rekbaar. Sommige providers interpreteren dat als 24 uur. Anderen als "zo snel als praktisch haalbaar". Als je provider er twee dagen over doet, loopt de schade ondertussen door en heb je minder tijd om te onderzoeken wat er precies gebeurd is.
Controleer wat je verwerkersovereenkomst hierover zegt. En als er geen concreet tijdsbestek in staat, vraag er dan om.
Datalek: van incident tot melding
Art. 33 AVG · EDPB Guidelines 9/2022 on personal data breach notification
Subverwerkers: de verborgen keten
Je hostingprovider draait je website. Maar wie draait de infrastructuur van je hostingprovider? Veel Nederlandse hosters gebruiken onderliggend een Amerikaans platform, back-updienst of monitoringtool. Elke partij in die keten die toegang heeft tot persoonsgegevens is een subverwerker. En subverwerkers moeten dezelfde AVG-verplichtingen naleven als je directe provider.
De AVG eist dat je provider geen subverwerkers inschakelt zonder jouw voorafgaande toestemming (artikel 28, lid 2). In de praktijk werkt dat meestal met een "algemene schriftelijke machtiging": je geeft toestemming, maar de provider moet je informeren als er een subverwerker bijkomt of verandert. Je krijgt dan een bezwaartermijn.
Het probleem: sommige hostingproviders hebben tientallen subverwerkers. Cloudflare voor CDN, Datadog voor monitoring, een Amerikaans bedrijf voor DDoS-bescherming. Die lijst verandert. En als je niet oplette bij de initiële overeenkomst, heb je mogelijk al toestemming gegeven voor subverwerkers buiten de EU.
Vraag je provider om een actuele subverwerkerslijst. Die zijn ze verplicht bij te houden. Controleer in welke landen die subverwerkers gevestigd zijn. Valt er een partij onder de CLOUD Act? Dan ben je terug bij het jurisdictieprobleem uit ons vorige artikel.
Vijf valkuilen die we in de praktijk tegenkomen
1. Geen verwerkersovereenkomst met je e-mailprovider
De meeste organisaties denken bij hosting aan hun website. Maar als je zakelijke e-mail via een externe provider loopt, verwerkt die provider ook persoonsgegevens. Elke e-mail met een naam, adres of klachtenomschrijving telt. Hetzelfde geldt voor je CRM, je boekhoudsoftware en je HR-tool.
2. Back-ups op een andere locatie dan je productieomgeving
Je website draait in een Nederlands datacenter. Maar waar staan je back-ups? Als je provider back-ups opslaat bij een partij in de VS of een ander niet-EU land, heb je een doorgifte van persoonsgegevens naar een derde land. Dat mag alleen met een geldige juridische basis, zoals Standard Contractual Clauses (SCCs) of een adequaatheidsbesluit.
3. Logging en monitoring data als persoonsgegevens
IP-adressen zijn persoonsgegevens onder de AVG. Dat betekent dat serverlogbestanden, accesslogs en monitoringtools die IP-adressen vastleggen onder de AVG vallen. Als die logs naar een externe monitoringdienst gaan, is dat een verwerking. Met alle bijbehorende verplichtingen.
4. Geen DPIA uitgevoerd
Als je op grote schaal persoonsgegevens verwerkt, of als je bijzondere persoonsgegevens verwerkt (medisch, religieus, strafrechtelijk), moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Een DPIA brengt de privacyrisico's in kaart en documenteert de maatregelen die je neemt. Veel organisaties slaan deze stap over, terwijl het bij bepaalde hostingsituaties verplicht is.
5. SSL als enige beveiligingsmaatregel
Een SSL-certificaat versleutelt het verkeer tussen de browser en de server. Dat is een minimum, geen complete beveiliging. De AVG schrijft "passende technische en organisatorische maatregelen" voor. Dat omvat ook encryptie van data at rest, toegangscontrole, regelmatige beveiligingstesten en een procedure voor het herstel van beschikbaarheid na incidenten.
AVG-compliant hosting: de checklist
Gebaseerd op Art. 28, 32, 33 en 35 AVG · Autoriteit Persoonsgegevens richtlijnen
Certificeringen: nuttig maar niet verplicht
ISO 27001, NEN 7510, SOC 2. Het zijn geen wettelijke vereisten, maar ze helpen. Een certificering toont aan dat een provider een systematische aanpak heeft voor informatiebeveiliging. De AP beschouwt certificeringen als een sterk signaal dat er "passende maatregelen" zijn getroffen.
Let wel op wat de certificering dekt. Een ISO 27001-certificaat voor het datacenter zegt niets over de beheerdiensten die eromheen zitten. Vraag specifiek naar de scope van de certificering. En of die scope de diensten omvat die jij afneemt.
NEN 7510 is relevant als je in de zorg werkt. Die norm is specifiek ontworpen voor informatiebeveiliging in de gezondheidszorg en is strenger dan ISO 27001 op bepaalde punten.
Wat verandert er met NIS2?
Met de komst van de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2, verwacht Q2 2026) worden de eisen aan hostingproviders aangescherpt. Datacenteroperators en managed service providers vallen expliciet onder de wet. Dat betekent verplicht risicobeheer, incidentmelding en supply chain security.
Voor jou als klant verandert er ook iets: je moet kunnen aantonen dat je providers aan deze eisen voldoen. Het is niet langer voldoende om een verwerkersovereenkomst te hebben en het daarbij te laten. Je moet de beveiligingspraktijken van je leveranciers actief beoordelen en documenteren.
De kern
AVG-compliant hosting is geen kwestie van het juiste vakje aanvinken. Het is een keten van verantwoordelijkheden die begint bij jou als organisatie en doorloopt tot aan de subverwerker van je subverwerker. De verwerkersovereenkomst is het fundament, maar het gebouw staat of valt met wat erin staat en of je het ook nakomt.
Begin bij de basis: heb je een getekende verwerkersovereenkomst met je hostingprovider? Weet je waar je data staat, inclusief back-ups? Ken je de subverwerkers? En heb je een afspraak over hoe snel je gebeld wordt als er iets misgaat?
Twijfel je bij een van die vragen? Dan weet je genoeg.
Wil je weten of jouw hosting AVG-proof is? Vraag een gratis scan aan en krijg binnen 48 uur inzicht in de risico's van je huidige setup.