Klanten informeren
Over de brand bij OVH is al veel geschreven. De oorzaak zou iets met de noodstroomvoorziening te maken kunnen hebben. Het onderzoek loopt nog en met enige regelmaat verschijnt daarover een update. Wat ook online wordt bijgehouden is het staat van de herstelwerkzaamheden. Klanten konden daarom al snel inschatten of hun data tijdelijk of blijvend offline zou zijn.
Voor een groep klanten was daarbij al snel duidelijk dat het einde verhaal was voor de data. De containers die als SBG2 bekend stonden hebben zoveel schade opgelopen dat de hardware als verloren moet worden beschouwd. Dat is ook voor een deel van SBG1 aan de hand, maar de meeste schade is in SBG2 ontstaan.
Schade en bedrijfscontinuïteit
Klanten stelden en stellen natuurlijk veel vragen over het verlies van de hardware en daarmee de software, applicaties en data. Voor het gros van de SBG2 klanten was er geen positief nieuws te melden. Helemaal niet als ze zelfs voor een (betere) back-up procedure hadden gezorgd.
Over dat laatste is door OVH en de pers echt al veel geschreven. Begrijpelijk, want zonder back-up is brandschade op een schaal als bij SBG2 letterlijk een bedreiging voor de bedrijfscontinuïteit van de klanten die het betreft.
OVH FAQ over de AVG
Er is echter nog iets dat speelt en dat niets met een back-up te maken heeft. OVH heeft op de Franse FAQ pagina’s over de brand vragen over “personal data” opgenomen. OVH wijst de lezers er op dat ze onder de AVG binnen 72 uur melding moeten maken van een datalek als die data door de brand in datacenter SBG2 verloren is gegaan. Een beknopte versie van die Franse tekst is ook op de Engelstalige FAQ verschenen.
De bedoeling van die melding mag duidelijk zijn. OVH informeert daarmee de klanten over de reikwijdte van de AVG. Veel klanten zullen natuurlijk niet eerder te maken hebben gehad met een dergelijk onherroepelijk dataverlies. Ze zullen ook niet weten dat ook dit gemeld moet worden bij de toezichthouders.
Beknopt en incompleet
Wat OVH communiceert is echter beknopt en incompleet. Daar is kritiek op te geven, maar het bedrijf heeft in ieder geval wel wat gedaan. De aanleiding is bekend en dat verklaart ook deels waarom het als haastwerk overkomt.
In het kader van de wijze lessen die de datacentersector en klanten van de brand kunnen leren kan het geen kwaad na te denken over een betere beschrijving van die meldplicht. Een datacenter mag en kan zonder meer in de contracten, leveringsvoorwaarden en ook in de FAQs heel goed kunnen omschrijven bij welke incidenten in het datacenter de klanten een melding van een datalek moeten doen. Daarmee heeft het datacenter in ieder geval aan de eerste verplichting voldaan.
Klanten van een datacenter, zoals een MSP of SaaS aanbieders kunnen die boodschap ook weer integreren in de communicatie naar de eigen klanten toe. Zo weet een groter deel van de keten wanneer een incident in een datacenter leidt tot AVG verplichtingen verderop in die keten.