Stichting DINL over impact GDPR voor hosters

Geplaatst op 11-01-2017 in SECTOR


Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR, in Nederlands Algemene Verordening Gegevensbescherming) van kracht. Deze regelgeving is in april 2016 door de Europese Commissie aangenomen en zal in alle lidstaten van de EU van kracht worden. Het doel van de regelgeving is om burgers meer controle te geven over hun digitale persoonsgegevens. En dat heeft ingrijpende gevolgen voor de digitale sector, niet in de laatste plaats voor hosting- en cloud providers.

In essentie is de GDPR een goede en broodnodige verordening. Er is ruim aandacht voor het voorkomen van ongeoorloofde uitwisseling van persoonsgegevens en het maatschappelijk belang van privacy. Er wordt een duidelijk onderscheid gemaakt in de rolverdeling tussen degene die persoonsgegevens verzamelt en derden die toegang hebben tot de data, de GDPR noemt die processors (bewerkers). Tot zover geen vuiltje aan de lucht. Maar als we wat dieper ingaan op de materie, zien we dat de verordening op twee manieren uitgelegd kan worden. En de gangbare uitleg zal hosters voor problemen stellen.

Bij de toepassing van de GDPR zetten de toezichthouders in op de gedachte van regie en control. Degene die persoonsgegevens verzamelt, de responsible (verantwoordelijke) zou in principe volledige controle moeten kunnen behouden over de gegevens die verzameld worden. Dat betekent ook dat de verantwoordelijke al zijn toeleveranciers, bewerkers, zal verplichten om zijn beleid toe te passen. De hosting provider is in deze relatie zo’n dienstverlener en moet zodoende alle instructies van de partij die diensten afneemt opvolgen. Ook zegt de GDPR dat de verantwoordelijke de verplichting heeft om de privacybescherming en informatieveiligheid bij zijn leveranciers zelf te controleren. Sommige juristen leggen dat uit als de verplichting om zelf audits te doen bij de betreffende hosters en datacenters.

Dit staat haaks op hoe de online wereld inmiddels in elkaar zit. De grote hyperscalers hebben miljoenen klanten in grote datacenters. Als zij al hun klanten de gelegenheid moeten bieden om te kunnen auditen, creëren ze een veiligheidsrisico op zich. Stel je maar voor: als in één van de datacenters van deze hyperscalers 500.000 klanten hun persoonsgegevens opslaan, zouden zij gemiddeld genomen over een jaar iedere dag bijna 1400 audits moeten toestaan in het datacenter. Dat is absurd en onwerkbaar. Logischerwijs kiezen zij er dan ook voor om zelf hun security standaarden te bepalen. Niks geen regie: als je gebruik maakt van hun diensten ga je akkoord de compliance en security policies van deze hyperscalers.

Er is nog een andere, meer fundamentele reden waarom de gedachte van centrale, top-down regie niet meer past:  innovatie en ontwikkeling vinden tegenwoordig plaats op basis van het het zogenaamde ‘permissionless innovation paradigm’. Een Uber of Airbnb maken slim gebruik van de diensten die al beschikbaar zijn. En die diensten worden geleverd door een brede waaier aan digitale dienstverleners. Daar sluit je geen contracten mee, en die kun je onmogelijk allemaal aansturen volgens het regiemodel. Niet alleen omdat die dienstverleners dat niet willen, maar ook omdat je op die manier geen innovatief bedrijf kunt zijn. Niet hun klanten, maar de partijen zelf hebben de volledige regie over hun dienstverlening.

De regie en control gedachte waarop de GDPR gebaseerd is zal ook voor Nederlandse hosters, ongeacht de omvang, een probleem vormen. Want zij zullen met iedere klant contracten moeten gaan afsluiten over de waarborging van persoonsgegevens. Zelfs als zij op dat gebied een uitstekende reputatie hebben, zullen zij moeten dulden dat klanten op basis van de GDPR een stevige regiefunctie hebben, en met eigen contracten komen aanzetten. Het gaat dan om bewerkersovereenkomsten, inspecties, en zelfs gedetailleerde opdrachten hoe hosters persoonsgegevens opslaan en verwerken.

Dat circus van contracten en lijstjes conflicteert met dat business model, leidt tot onnodige regeldruk en creëert ook schijnveiligheid. Het is niet in het belang van de Nederlandse hosting- en cloudproviders en overigens ook niet van hun klanten. Niemand zit te wachten op extra papierwerk en een klantrelatie die voor een deel gebaseerd is op wantrouwen, wat impliciet toch in de GDPR besloten ligt.

Het is zelfs een bizarre ontwikkeling. Het zijn juist de klanten van hosters die nu onder dwang van de wet hun zaken moeten gaan regelen. Maar dat vervolgens met contracten, soms met zelfbedachte lijstjes en met contractueel vastgelegde aansprakelijkheid gaan afwentelen op hosters en datacenters. Die de veiligheid en certificeringen allang op orde hadden.

Er zijn gelukkig meer partijen die dit inzien. Het ministerie van Economische Zaken heeft ECP gervaagd het project “Partnering Trust” te gaan leiden voor dit probleem. Stichting DINL doet mee aan het project, mede namens DHPA. Waar we heen willen is Circles of Trust: vertrouwen is de basis waarop je met hosting- en cloudproviders in die circles zaken kan doen. Als de SLA’s en bewerkersovereenkomsten in orde zijn, en de partijen hun veiligheid verifieerbaar hebben geregeld, is er geen reden om met iedere klant steeds opnieuw afspraken te moeten maken. We moeten daarvoor standaardmodellen hebben waarop zowel de sector als hun klanten kunnen vertrouwen.

Vergelijk het met de voedselketen. Een veehouder levert indirect aan honderden bedrijven. maar de supermarkten en restaurants die de eindproducten leveren staan niet met hordes op zijn land of in zijn stallen om te kijken of hij wel volgens de regels werkt. Daar hebben we inspecties zoals de Voedsel- en Warenautoriteit voor. Zo zou het ook moeten zijn in de hele online industrie als de GDPR in mei 2018 van kracht wordt: iedereen moet erop kunnen vertrouwen dat compliant gewerkt wordt, en waar het vermoeden bestaat dat dit niet zo is, is een rol weggelegd voor de inspecties. Kortom, regie is soms goed, maar vertrouwen is beter.

Michiel Steltman
Directeur Stichting DINL