Door Anoniem: Arnoud geeft hier een recept voor wegkijken. Als je maar doet of je het niet ziet, dan kom je er als "verwerker" juridisch mee weg. Dat is geen wegkijken. Dat is alsof je Volkswagen verantwoordelijk maakt voor het feit dat jij door rood gereden bent. Volkswagen maakt een auto. Die verkopen ze aan jou. Dat jij daarmee iets onwettigs doet is jouw probleem, niet dat van Volkswagen. Zelfde hier. Jij maakt een product. Zeg: een database. Je verkoopt die database aan je klant. Die klant zegt dat persoon B ook bij die database moet kunnen. Technisch kan dat met een API of toegang. Jij bent niet verantwoordelijk voor de integriteit van persoon B... Je kan pas verantwoordelijk zijn als je invloed op het proces kunt uitoefenen. En dat geef je uit handen aan je klant zodra je de databasesoftware of -dienst verkoopt. Wel moet je natuurlijk zorgen dat je API / externe toegang goed geregeld is. Als jij wachtwoorden van maximaal 8 karakters gebruikt en geen MFA implementeert is dat aan jou. Maar klant A ...