HomeKennisbank › Webhosting en cloudproviders
IT

Webhosting en cloudproviders: klantdata vernietigen

Servers, schijven en klantdata van een hostingprovider klaar voor vertrouwelijke vernietiging

Een hosting- of cloudprovider beheert de gegevens van tientallen tot duizenden klanten: accounts, databases, bestanden, back-ups en logbestanden. Daar komen afgedankte schijven en servers bij die aan het einde van hun leven fysiek vernietigd moeten worden. U bent voor die gegevens meestal verwerker, niet de eigenaar en dat brengt eigen verplichtingen mee. Deze gids laat zien wat u bewaart, wat u vernietigt en hoe u dat vertrouwelijk en aantoonbaar doet.

Het snelle antwoord: klantcontent bewaart u alleen zolang u de dienst levert en het contract dat vraagt. Uw eigen facturatie valt onder de fiscale bewaarplicht van zeven jaar. Afgedankte schijven en servers vernietigt u fysiek. Wat weg mag, verdwijnt vertrouwelijk en met een certificaat als bewijs.

Twee soorten data: wat u host en wat u beheert

Bij een hostingpartij lopen twee stromen door elkaar. De eerste is de klantcontent: de databases, websites, bestanden, mailboxen en back-ups die u namens uw klanten opslaat. Daarvan is de klant de verantwoordelijke en bent u de verwerker. De tweede is uw eigen bedrijfsvoering: uw facturatie, contracten, supporttickets en interne administratie. Daarvan bent u zelf verantwoordelijke.

Dat onderscheid bepaalt wie beslist wanneer iets weg mag. Over klantcontent gaat de klant, binnen de kaders die u samen heeft afgesproken. Over uw eigen administratie gaat u zelf, met de fiscale en wettelijke termijnen als leidraad. Behandel de twee stromen daarom apart, want ze kennen andere grondslagen en andere bewaartermijnen.

Uw rol als verwerker en de verwerkersovereenkomst

Voor de klantcontent bent u verwerker in de zin van de AVG. Dat betekent dat u de gegevens alleen verwerkt in opdracht van de klant en dat u niet zomaar zelf beslist om iets te bewaren of te vernietigen. De afspraken hierover horen in een verwerkersovereenkomst en juist het einde van de rit verdient daarin aandacht. Leg vast dat u de gegevens na afloop van de opdracht verwijdert of teruggeeft, binnen welke termijn en op welke manier dat gebeurt.

Neem in die overeenkomst ook op dat fysieke datadragers vertrouwelijk vernietigd worden en dat de klant op verzoek een bewijs krijgt. Zo weet uw klant vooraf wat er met de gegevens gebeurt als de samenwerking stopt. Wat er precies in zo'n document hoort, staat in de checklist voor de verwerkersovereenkomst.

Bewaartermijnen per onderdeel

De termijn verschilt per soort gegeven. Het volgende overzicht geeft de hoofdlijn. Reken de fiscale termijn vanaf het einde van het boekjaar en de klantgebonden termijnen vanaf het einde van het contract.

OnderdeelUitgangspuntTermijn
Facturatie en administratieFiscale bewaarplicht7 jaar
Klantcontent (databases, bestanden)Verwerker, duur dienstduur van het contract
Accounts en inloggegevensZolang de klant actief istot offboarding
Logbestanden (toegang, security)Beveiliging en aansprakelijkheiddoelgebonden, kort
Back-upsRetentievenster van de dienstrollend, daarna gewist
Afgedankte schijven en serversFysieke datadragersvernietigen bij end-of-life

Gebruik dit als richtlijn, niet als vervanging van uw eigen afspraken. De fiscale kant staat in de fiscale bewaarplicht van 7 jaar. Voor de klantcontent geldt vooral wat u in het contract heeft vastgelegd.

Afgedankte schijven en servers: fysiek vernietigen

Servers en schijven gaan een keer uit dienst. Een defecte schijf, een vervangen SSD, een uitgefaseerde server of een volle tapecassette bevat vrijwel altijd nog resten van klantdata. Op moderne opslag is een simpele verwijderactie niet genoeg, omdat gegevens verspreid over de schijf staan en op defecte hardware helemaal niet meer betrouwbaar te wissen zijn. Voor alles wat u afdankt is fysieke vernietiging daarom de veiligste keuze.

Verzamel afgedankte datadragers apart en bewaar ze verzegeld tot de vernietiging, niet los in een magazijn waar ze kunnen verdwijnen. Hoe het versnipperen fysiek in zijn werk gaat en welke deeltjesgrootte daarbij hoort, leest u in hoe een harde schijf wordt geshredderd. Voor complete machines is servers laten vernietigen aan het einde van hun leven het bijbehorende stappenplan en voor een hele serverruimte helpt datacenter hardware vernietigen.

Logbestanden en back-ups

Logbestanden en back-ups worden vaak vergeten, terwijl ze veel persoonsgegevens kunnen bevatten. Toegangslogs, IP-adressen en foutmeldingen horen bij de beveiliging, maar zijn geen archief. Bewaar ze zo kort als het doel vraagt en ruim ze daarna gestructureerd op. Een logbestand dat jaren blijft staan zonder reden is een risico zonder nut.

Back-ups verdienen dezelfde aandacht als de live-omgeving. Als u een klant offboardt, moet de data ook uit de back-uprotatie verdwijnen, anders leeft ze daar stil verder. Werk daarom met een helder retentievenster waarin oude back-ups vanzelf uitrollen en overschreven worden. Zo weet u dat een verwijderactie op termijn ook echt doorwerkt in alle kopieen. In de cloud vraagt dat extra oplettendheid, zoals cloud data echt verwijderen laat zien.

Offboarding van een klant

Het moment waarop een klant vertrekt is het moment waarop de verwerkersovereenkomst getest wordt. Geef de gegevens terug of verwijder ze, binnen de afgesproken termijn en zorg dat dat ook de back-ups en logs omvat. Laat een export voor de klant niet eindeloos op uw systemen staan. Een export is bedoeld om over te dragen, niet om jaren te bewaren voor het geval dat.

Documenteer wat u heeft verwijderd en wanneer. Als er nog fysieke datadragers met de gegevens van die klant zijn, plan die dan mee in de vernietiging. Zo sluit u het dossier van de klant netjes af en houdt u zelf geen data aan waarvoor u geen grond meer heeft.

Zo pakt u het aan in 6 stappen

  1. Scheid de stromen in klantcontent, eigen administratie en fysieke datadragers.
  2. Leg vernietiging vast in de verwerkersovereenkomst met termijn en methode.
  3. Ruim logs en back-ups op binnen een helder retentievenster.
  4. Verwijder klantdata bij offboarding uit live, back-up en exports.
  5. Verzamel afgedankte schijven en servers verzegeld tot de vernietiging.
  6. Laat vertrouwelijk vernietigen met een certificaat en noteer het in uw register.

Laat vertrouwelijk vernietigen met certificaat

Datadragers met klantdata laat u vertrouwelijk vernietigen, omdat u de gegevens van anderen beheert en daarvoor moet kunnen instaan. De schijven, servers, tapes en eventueel papier gaan verzegeld mee en blijven dat tot de vernietiging, zodat de keten gesloten is. Zo voorkomt u dat een uitgefaseerde schijf ergens onderweg toch weer opduikt.

Na afloop ontvangt u een certificaat van vernietiging met datum, hoeveelheid en niveau. Dat certificaat is uw bewijs richting de klant en de AVG dat u zorgvuldig heeft gehandeld. Noteer de vernietiging in uw verwerkingsregister. Wij halen op binnen 20 km van Amsterdam zonder voorrijkosten, werken landelijk via gebundelde ophaalrondes en rekenen een vaste prijs per doos of rolcontainer. Inleveren op locatie is niet mogelijk, het werkt op afspraak via ophalen.

Schijven en servers laten vernietigen?

Geef door wat u heeft en u krijgt een vaste prijs. Wij halen het verzegeld op, vernietigen op het juiste DIN-niveau en u ontvangt een certificaat voor uw AVG-dossier. Geen voorrijkosten binnen 20 km van Amsterdam.

Vraag een offerte aan

Veelgemaakte fouten

  • Afgedankte schijven alleen wissen. Op defecte of moderne opslag lukt wissen niet altijd volledig.
  • Back-ups vergeten bij offboarding. Data die uit live verdwijnt, leeft daar stil verder.
  • Logbestanden eindeloos bewaren. Zonder doel is dat een risico zonder nut.
  • Vernietiging niet in de overeenkomst regelen. Dan staat u met lege handen als de klant vertrekt.
  • Geen bewijs bewaren. Zonder certificaat kunt u de vernietiging niet aantonen.

Veelgestelde vragen

Hoe lang mag ik klantdata bewaren als hostingpartij?

Alleen zolang u de dienst levert en het contract dat vraagt. Uw eigen facturatie valt onder de fiscale bewaarplicht van zeven jaar. Klantcontent zoals databases en bestanden verwijdert u na de afgesproken periode bij offboarding, zoals de verwerkersovereenkomst voorschrijft.

Wat moet er in de verwerkersovereenkomst over vernietiging staan?

Dat u de gegevens na afloop van de opdracht verwijdert of teruggeeft, binnen welke termijn en op welke manier. Leg vast dat fysieke datadragers vertrouwelijk vernietigd worden en dat de klant op verzoek een bewijs ontvangt.

Is een schijf wissen genoeg of moet die vernietigd worden?

Voor een schijf die u opnieuw gebruikt kan een gecertificeerde wismethode volstaan. Voor een schijf of server die u afdankt is fysieke vernietiging de veiligste keuze, omdat wissen op defecte of moderne opslag niet altijd volledig lukt.

Hoe toon ik aan dat data van een klant echt vernietigd is?

Met een certificaat van vernietiging met datum, hoeveelheid en niveau en met een notitie in uw verwerkingsregister. Zo kunt u richting de klant en de AVG aantonen dat u zorgvuldig heeft gehandeld.

Conclusie

Een hosting- of cloudprovider beheert de data van veel klanten en draagt daarvoor als verwerker een eigen verantwoordelijkheid. Scheid de klantcontent van uw eigen administratie, leg vernietiging vast in de verwerkersovereenkomst en ruim logs en back-ups op binnen een helder venster. Bij offboarding verwijdert u de data uit alle kopieen en afgedankte schijven en servers vernietigt u fysiek. Wat weg mag, laat u vertrouwelijk vernietigen met een certificaat als bewijs. Zo beschermt u de gegevens van uw klanten en kunt u dat op elk moment aantonen.

Lees ook: softwarebedrijven: klantdata vernietigen, pr- en communicatiebureaus: mediagegevens vernietigen, uitgeverijen: abonnee- en auteursgegevens vernietigen en de AVG-bewaartermijnen cheatsheet.


Klantdata laten ophalen? Vraag een offerte aan via desnipperaar.nl. Binnen een paar minuten heeft u een vaste prijs, inclusief certificaat als bewijs.