AVG-compliant hosting betekent dat de hostingprovider jouw data opslaat en verwerkt op een manier die voldoet aan de Algemene Verordening Gegevensbescherming. Maar waar moet zo’n provider dan precies aan voldoen? In dit artikel lees je de vijf concrete criteria waaraan AVG-compliant hosting moet voldoen, zodat je zelf kunt beoordelen of jouw huidige of toekomstige provider de juiste keuze is.
Waarom is AVG-compliant hosting belangrijk?
Als je via je website gegevens verzamelt van bezoekers, ben je als verwerkingsverantwoordelijke verplicht die gegevens adequaat te beschermen. Dat geldt namelijk ook als je die gegevens niet zelf bewaart op een eigen server, maar bij een hostingprovider. De provider verwerkt jouw data namens jou en valt daardoor ook onder de AVG.
Een verkeerde keuze voor een hostingprovider kan daardoor betekenen dat je zonder het te weten de AVG overtreedt. Denk aan een provider waarvan de servers in de VS staan, of een provider die eigendom is van een Amerikaans bedrijf. In beide gevallen kan jouw data namelijk buiten de EU terechtkomen.
Checklist: waar moet AVG-compliant hosting aan voldoen?
Gebruik de onderstaande vijf criteria om te beoordelen of een hostingprovider AVG-compliant is.
1. Servers staan fysiek binnen de EU
De AVG verplicht Europese bedrijven om persoonsgegevens op te slaan binnen de Europese Economische Ruimte, tenzij er aanvullende waarborgen zijn getroffen. De eenvoudigste manier om hieraan te voldoen is door te kiezen voor een hostingprovider waarvan de servers fysiek in de EU staan.
Let daarbij ook op het eigendom van het datacenter. Een server die in Nederland staat maar eigendom is van een Amerikaans bedrijf valt namelijk onder de Amerikaanse Cloud Act. Daardoor kan de Amerikaanse overheid onder bepaalde omstandigheden toegang eisen tot die data, ook als de server fysiek in Europa staat.
2. Het datacenter is gecertificeerd
AVG-compliance gaat verder dan alleen de locatie van de server. De AVG vereist namelijk ook dat persoonsgegevens goed beveiligd worden. Certificeringen zijn daarvoor het aantoonbare bewijs. De meest belangrijke zijn ISO 27001 voor informatiebeveiliging, ISO 9001 voor kwaliteitsmanagement en PCI-DSS voor de beveiliging van betalingsgegevens.
Een provider die deze certificeringen kan aantonen heeft namelijk aantoonbaar beleid en procedures om jouw data te beschermen. Dat is iets anders dan een marketingbelofte.
3. Er is een verwerkersovereenkomst beschikbaar
Als een hostingprovider persoonsgegevens verwerkt namens jou, ben je verplicht een verwerkersovereenkomst te sluiten. Dat is een wettelijke verplichting onder de AVG. Een provider die geen verwerkersovereenkomst aanbiedt is daardoor per definitie niet AVG-compliant.
In de verwerkersovereenkomst leg je onder andere vast welke gegevens worden verwerkt, voor welk doel en hoe lang. Controleer bovendien of de verwerkersovereenkomst vermeldt dat data niet buiten de EU wordt doorgegeven.
4. Geen doorgifte van data buiten de EU
Sommige providers maken gebruik van subverwerkers: andere bedrijven die namens hen bepaalde taken uitvoeren. Denk aan back-upsystemen, monitoringtools of een supportplatform. Als die subverwerkers buiten de EU gevestigd zijn, kan jouw data alsnog de EU verlaten.
Vraag daarom altijd na of de provider een lijst van subverwerkers met je kan delen en of al die subverwerkers binnen de EU actief zijn. Een transparante provider heeft namelijk geen probleem met die vraag.
] 5. De provider biedt aantoonbare beveiliging
De AVG schrijft voor dat persoonsgegevens beschermd worden met passende technische en organisatorische maatregelen. Voor een hostingprovider betekent dat concreet: firewalls, bescherming tegen aanvallen, dagelijkse back-ups en actuele serversoftware.
Vraag bij een provider na welke beveiligingsmaatregelen standaard inbegrepen zijn en welke je zelf moet regelen. Bij managed hosting neemt de provider deze verantwoordelijkheid namelijk volledig over.
Hoe controleer je of jouw huidige provider AVG-compliant is?
De snelste manier is om de volgende vier vragen te beantwoorden:
- Waar staan de servers fysiek en wie is de eigenaar van het datacenter?
- Is het datacenter gecertificeerd met ISO 27001, ISO 9001 of PCI-DSS?
- Biedt de provider een verwerkersovereenkomst aan?
- Zijn alle subverwerkers binnen de EU gevestigd?
Kun je niet alle vier vragen met zekerheid beantwoorden? Dan is het zinvol om jouw huidige situatie opnieuw te beoordelen. Het ontbreken van een verwerkersovereenkomst alleen al is namelijk een overtreding van de AVG.
Wat maakt hosting AVG-compliant by design?
AVG-compliant by design betekent dat de hosting van meet af aan is ingericht om te voldoen aan de AVG, zonder dat je als klant extra maatregelen hoeft te nemen. De locatie van de servers, de certificeringen van het datacenter en de verwerkersovereenkomst zijn namelijk standaard geregeld.
Host in EU is een voorbeeld van hosting die op deze manier is opgezet. De servers staan in Nederland in een datacenter met ISO 27001, ISO 9001 en PCI-DSS certificering. Van de tools waarmee we werken tot de samenwerkingen die we zijn aangegaan: alles is bewust ingericht zodat jouw data binnen de EU blijft. Een verwerkersovereenkomst is beschikbaar en alle subverwerkers opereren binnen de EU.
Dat betekent dat je als klant geen extra stappen hoeft te zetten om aan de AVG te voldoen voor wat betreft de opslag van jouw data. De hosting regelt dat namelijk al voor je.
Voldoet jouw hosting aan de AVG?
Bij Host in EU staat jouw data in Nederland, in een gecertificeerd datacenter. Van de tools waarmee we werken tot de samenwerkingen die we zijn aangegaan: alles is bewust ingericht zodat jouw data binnen de EU blijft. Zodra je klant wordt sluiten we standaard een verwerkersovereenkomst met je af. Bekijk of Host in EU bij jouw situatie past
Veelgestelde vragen over AVG-compliant hosting
Staat jouw vraag er niet bij? Stuur ons een e-mail. We antwoorden binnen 1 werkdag.
★ Wat is AVG-compliant hosting?
AVG-compliant hosting betekent dat de hostingprovider jouw data opslaat en verwerkt op een manier die voldoet aan de Algemene Verordening Gegevensbescherming. Dat houdt in dat de servers binnen de EU staan, het datacenter gecertificeerd is en er een verwerkersovereenkomst beschikbaar is.
★ Waar moeten de servers staan voor AVG-compliance?
De servers moeten fysiek binnen de Europese Economische Ruimte staan. Bovendien moet het datacenter Europees eigendom zijn. Een server in Europa die eigendom is van een Amerikaans bedrijf valt namelijk onder de Amerikaanse Cloud Act en biedt daardoor geen volledige AVG-bescherming.
★ Heb ik een verwerkersovereenkomst nodig met mijn hostingprovider?
Ja. Als jouw hostingprovider persoonsgegevens verwerkt namens jou, ben je wettelijk verplicht een verwerkersovereenkomst te sluiten. Dat is een directe verplichting onder de AVG. Een provider zonder verwerkersovereenkomst is daardoor niet AVG-compliant.
★ Is hosting in Nederland altijd AVG-compliant?
Niet automatisch. Nederland maakt deel uit van de EU, wat een goede basis is. Maar je moet ook controleren of het datacenter gecertificeerd is, of er een verwerkersovereenkomst beschikbaar is en of subverwerkers binnen de EU opereren. Denk daarbij verder dan alleen de server. Ook de tools waarmee een provider werkt tellen mee. Als jouw hostingprovider bijvoorbeeld een e-mailprogramma of ticketsysteem gebruikt dat niet Europees is, kan jouw data via die weg alsnog buiten de EU terechtkomen. Serverlocatie alleen is dus niet voldoende.
★ Wat is het verschil tussen AVG-compliant en AVG-proof?
AVG-compliant betekent dat de hosting voldoet aan de eisen van de AVG. AVG-proof is een marketingterm zonder juridische definitie. Gebruik die term daarom niet als criterium bij het beoordelen van een provider. Let in plaats daarvan op aantoonbare zaken: certificeringen, serverlocatie en de aanwezigheid van een verwerkersovereenkomst.
★ Hoe weet ik of mijn hostingprovider subverwerkers buiten de EU gebruikt?
Vraag de provider om een lijst van subverwerkers. Een transparante provider heeft namelijk geen probleem met die vraag en kan aantonen dat alle subverwerkers binnen de EU opereren. Staat die informatie niet in de verwerkersovereenkomst of op de website? Dan is dat een signaal om verder te vragen.
