Een hoster heeft per definitie geen zicht op welke data zijn klanten op de servers zetten. Wij eisen niet van klanten dat zij ons hun wachtwoord geven. Dat mogen we niet, dat willen wij ook helemaal niet. De omgeving die wij voor een klant aanmaken is heilig, daar moet de hoster niets mee te maken hebben.
De keerzijde is wel dat iedere hoster in mindere of grotere mate potentieel kwetsbaar is voor misbruik. Niemand kan met 100% zekerheid zeggen dat er nooit onrechtmatige content op zijn servers draait, heeft gedraaid, of ooit zal draaien.
Die kwetsbaarheid accepteren wij bijna als een beroepsrisico. En we weten ook dat de kans op een probleem niet bij iedereen even groot is, er worden meer fietsen gestolen in een grote stad dan in een klein dorpje zeg maar.
De aanpak van abuse is bij hosters op een aantal punten nog steeds voornamelijk reactief. Als wij weten dat er iets aan de hand is, grijpen we zo snel mogelijk in. Wat belangrijk is, zeggen wij ook al jaren tegen de overheid, is om een proces in te richten waarmee onrechtmatige content snel gevlagd kan worden, zodat wij het zonder vertraging kunnen verwijderen. Dat werkt ook vrij goed. Notice and Take Down is een voorbeeld van zo’n proces waardoor een hoster, zonder zelf te hoeven speuren op de accounts van zijn klanten, effectief kan reageren op meldingen.
Tot nu toe was de focus heel erg op het reactieve, met wat minder aandacht voor wat er aan de voorkant kan gebeuren om problemen te voorkomen. We zien dit nu snel verschuiven. Er is meer aandacht dan ooit voor het zorgvuldig inrichten van je Know Your Customer beleid. In andere woorden: goed je huiswerk doen voor je een klant aanneemt.
Het verdient ook aandacht. Door van tevoren een aantal checks in te bouwen, en een aantal rode vlaggen te definiëren, kun je je als hoster veel efficiënter beschermen tegen malafide klanten, en dus tegen ellende later. Een goede due diligence aan de voorkant kan heel veel problemen voorkomen.
Hoe dan? Er is niet één toverformule die in alle situaties gebruikt kan worden. Een KYC beleid is uiteindelijk het resultaat van een risicoanalyse.
Een eenmalige relatie met een kleine klant zul je anders inschieten dan een langdurige relatie met een partij die een substantiële omzet vertegenwoordigt. Sommige producten kennen ook veel minder risico dan anderen. Proportionaliteit is de sleutel. Je gaat geen duizenden euro’s aan due diligence uitgeven voor het registreren van een domeinnaam. Een nieuwe grote klant uit het buitenland daarentegen verdient extra aandacht.
Wat belangrijk is, en wat wij als brancheorganisatie ook verwachten van onze leden, is dat je als lid wel nadenkt over KYC, en voor verschillende type klanten ook bepaalde verificatie stappen in plaats heb zitten. Wat die dan zijn is aan jou, van KvK registraties of een legitimatie zien tot UBO gegevens of een eenmalige overboeking van een cent ter bevestiging van de identiteit van je klant.
En dat je aandacht hebt voor de red flags. Welk type gedrag geeft een signaal van een verhoogd risico. Dat is niet altijd even makkelijk in te schatten. Op 21 september organiseren wij een sessie samen met de landelijke politie en het OM om gezamenlijk te werken aan KYC en de rode vlaggen te leren herkennen. Hou je mail in de gaten, de uitnodiging hiervoor komt heel binnenkort!
Het onderwerp verdient aandacht. Wij gaan de gedragscode abuse-bestrijding aanvullen met een alinea over Know Your Customer. Die zullen we aan jullie presenteren op de ALV van 31 augustus. Hoog tijd om ook dit belangrijke element mee te nemen in onze code of conduct.
