Hosting en AVG
Een hostingpartij is per definitie verwerker van zijn klanten. Een website of applicatie, gerealiseerd in opdracht van een bedrijf (verantwoordelijke) draait er immers.
Indien er persoonsgegevens verwerkt wordt binnen een website of applicatie, zijn deze gegevens ook terug te vinden op de servers van een (web)hostingbureau. Ook al is de kans zeer gering dat een medewerker binnen een hostingbureau op de servers of aanwezige backups op zoek gaat naar specifieke persoonsgegevens, toch voldoet dit binnen de AVG aan de noemer verwerken en dus verwerkingsactiviteit.
Wat is verwerken? Verwerkingsactiviteit
Hostingbureau als verantwoordelijke
Juist doordat een hostingbureau aangesloten bedrijven of consumenten heeft die een hosting-dienst afnemen bij een hosting-bureau, is een hostingbureau al snel verantwoordelijke. Ook een eigen personeelsadministratie, indien van toepassing, heeft als gevolg dat de AVG documentatieplicht van toepassing is.
Website en bestelproces
Een webhostingbureau zal ook voor de eigen website verantwoordelijke zijn, bijvoorbeeld als bezoekgedrag gemeten wordt. Wanneer er sprake is van een online bestelproces (zie webshop en avg) om hosting-diensten af te nemen, bijvoorbeeld om een domeinnaam of webhostingpakket te bestellen, zullen gegevens ingevuld moeten worden door de aanvragen. Deze kunnen persoonsgegevens bevatten en reden zijn om te moeten voldoen aan de AVG documentatieplicht, in de vorm van een verwerkingsregister.
Hosting, klantadministratie en AVG
Wat betreft de klantenadministratie, kan er voor gekozen worden om enkel business to business hosting aan te bieden en in de administratie enkel bedrijfsgegevens op te nemen. Als dienstverlener, in dit geval hosting, valt echter lastig af te dwingen dat men als contactgegeven te allen tijde een algemeen e-mailadres moet hanteren. Het emailadres waaraan een factuur verstuurd wordt, zal dus al snel een persoonsnaam bevatten.
Vanaf dat moment is er sprake van persoonsgegevens en zal het volgende moeten gebeuren:
- Correcte privacy policy opstellen en publiceren;
- Eventueel passende algemene voorwaarden opstellen;
- Middels een verwerkingsregister als ook verwerkersovereenkomst voldoen aan de AVG documentatieplicht.
Hierbij doet een hostingbedrijf er verstandig aan om in een klantenportaal een omgeving in te richten waarin, naast de algemene voorwaarden, akkoord kan worden gegaan met een verwerkersovereenkomst. Als hostingbureau zullen de diensten vaak voor alle hosting-afnemers er hetzelfde uitzien.
AVG Cloud Register B.V. biedt hierin middels AVG pakketten een ondersteunende rol, voor het werkbaar en tijdbesparend in kaart brengen van aanwezige gegevens en maatregelen.