AVG compliant zijn – wat klopt er niet?

Een niet nader te noemen aanbieder van hostingdiensten, ook actief op de Nederlandse markt, gaat de mist in met de AVG. Het bedrijf claimt dat een dienst AVG compliant is, omdat het datacenter door TÜV is gecertificeerd. Dit soort missers komt wel vaker voor. Vermijden is belangrijk, al was het maar om terechtwijzingen in de pers te voorkomen.

Datacenters

Serieuze datacenters gaan er prat op aan alle mogelijke veiligheidsmaatregelen te voldoen. Duidelijk in beeld bij de ingang hangen de behaalde certificeringen en doorgelopen audits. Die moeten helpen vertrouwen te wekken en de klanten gerust te stellen. Hier is de data veilig.

Communiceren over de AVG

Tot zover is er niets verkeerd. Laten zien wat is behaald op dat vlak is het soort transparantie dat alleen maar goed is. Waar het aangehaalde datacenter de mist in gaat is door “iets” te willen communiceren over de AVG. De data in een datacenter is van klanten. Als dat in een keer de eindklanten zijn is de keten overzichtelijk.

Als de klant zelf weer eindklanten heeft (denk aan een hoster of een SaaS aanbieder) dan is de keten langer en het verhaal over de AVG al riskanter. De verantwoordelijkheid voor de veilige opslag en bewerking zal namelijk bij de klant liggen en niet bij het datacenter.

Variaties

Om het nog complexer te maken is er nog iets als de term YMMV. Er zijn zoveel variaties op de keten en onderlinge afhankelijkheid van partijen mogelijk, dat schermen met de AVG door een datacenter alleen maar meer vragen zal oproepen. Detail: dat het datacenter en de SaaS dezelfde naam hebben wil niet zeggen dat het dezelfde rechtspersoon is.

Compliant met datalekken

Maar er is nog iets, en dat raakt veel meer dan alleen datacenters. Wat hebben Atlassian, Uber, Mailchimp, Slack, LastPass gemeen? Het antwoord is dat deze bedrijven (de lijst is langer) allemaal PCI-DSS. ISO27001 en SOC2 compliant zijn/waren en een of meerdere datalekken hebben moeten moeten. In elk van die gevallen is de AVG overtreden. Elk van deze bedrijven heeft in het verleden ook aangegeven AVG compliant te zijn. Soms letterlijk, soms was het op een slimme manier omschreven, wat doet vermoeden dat men al nattigheid voelde.

Wet is geen norm of certificering

De misser die men maakt is dat AVG te zien als iets als een ISO norm. AVG is echter geen norm, maar een wettelijke eis. Geen enkele IT dienstverlener zal het in zijn hoofd halen te schrijven “Compliant met de Wet belasting over de toegevoegde waarde”, waarom schrijven sommigen dan wel AVG compliant ?