10 oktober 2019

Hoe ga je als organisatie om met je back-up op een manier die voldoet aan de AVG?

Geschreven door Marc van Broekhoven, Salesmanager ICT- en data security bij Solviteers

Regelmatig krijg ik vragen over hoe je als organisatie met je backup moet omgaan, op een manier die voldoet aan de AVG. Op grond van de AVG dien je immers zorgvuldig met persoonsgegevens om te gaan. Heb je geen reden meer om iemands persoonsgegevens te verwerken dan moet je deze gegevens wissen. Op zich een actie die veelal prima is uit te voeren: CRM-systeem openen en records verwijderen, of de relatiemap naar je prullenbak slepen en weg zijn je gegevens. Of is het toch niet zo eenvoudig? Hoe zit het bijvoorbeeld met de gegevens die nog rondwaren in back-up systemen? Moet je nu ook je back-up data van voor naar achter gaan opschonen? Ik heb het voor je op een rijtje gezet!

Recht op vergetelheid

In de AVG is het recht op gegevenswissing, ofwel het recht op vergetelheid, opgenomen. Wanneer je als organisatie geen goede reden meer hebt om bepaalde persoonsgegevens nog langer te verwerken dan is het belangrijk dat je deze gegevens wist. Betrokkenen kunnen zich ook tot jouw organisatie wenden met het verzoek om hun gegevens te wissen. Je bent in een aantal situaties verplicht om daaraan mee te werken. Bijvoorbeeld in het geval van een onrechtmatige verwerking of wanneer je eerder toestemming hebt gegeven aan een organisatie voor het gebruik van je gegevens, en je deze toestemming intrekt.

Ook back-up data opschonen

Waar ik het heb over de AVG en data met persoonsgegevens, dan gaat het om alle databestanden die je als organisatie hebt waarin deze persoonsgegevens zijn opgenomen. Het gaat hierbij dus ook om je data die als back-up is opgeslagen. Bij het verwijderen van persoonsgegevens dien je dan ook rekening te houden met het opschonen van je back-up. De Gegevensbeschermingsautoriteit (GBA) in België is erg duidelijk op dit punt. Indien blijkt dat een verzoek tot verwijdering gegrond is, dan dient de verwerkingsverantwoordelijke zonder onredelijke vertraging over te gaan tot het wissen van de desbetreffende gegevens. In principe dienen alle mogelijke kopieën van de desbetreffende gegevens gewist te worden, inclusief eventuele back-ups op fysieke tapes of op enige andere drager, zo stelt de GBA.

Redelijke vertraging is toegestaan

De tijdspanne waarbinnen de gegevenswissing moet zijn uitgevoerd, dient per geval beoordeeld te worden. Wat een “redelijke” vertraging is in het ene geval, is mogelijk een “onredelijke” vertraging in het andere geval, zo geeft de GBA aan. Dit kan er in de praktijk op neerkomen dat persoonsgegevens uit de betreffende applicaties, zoals een CRM systeem worden verwijderd, en dat deze gegevens pas later in de back-up bestanden worden gewist. Dit op voorwaarde dat de gegevens behoorlijk worden afgeschermd om ervoor te zorgen dat ze niet verder op onrechtmatige wijze aangewend kunnen worden.

Back-up procedure

Maar stel je voor dat er een restore wordt uitgevoerd aan de hand van een back-up die dateert van vóór de uitwissing? Dan moet de uitwissing indien nodig opnieuw uitgevoerd worden! Dit dient als actie aan de back-up procedure te worden toegevoegd. Hierbij is het uiteraard noodzakelijk dat je bijhoudt welke persoonsgegevens je hebt verwijderd. Dit recht van vergetelheid is ook punt van aandacht bij veel fabrikanten van back-up systemen.

Data-retentietijd

Op diverse fora van fabrikanten zoals Barracuda, Veeam en Microsoft wordt gesproken over een roadmap rondom dit onderwerp. Daarnaast worden er tips gegeven die nu als een work-around kunnen worden gehanteerd. Hierbij wordt vooral ingestoken op de data-retentietijd. Data-retentietijd is een verzameling regels waarin wordt beschreven welke data er wordt opgeslagen en voor hoelang dit gebeurt. Deze data-retentietijd is op haar beurt weer een onderdeel van de data-governance dat alle aspecten van je databeheer omvat.

Wil je weten hoe Solviteers kan helpen bij het opzetten en implementeren van data-governance, dataretentie-beleid of heb je hulp nodig bij het goed inrichten van je back-up?

Stuur mij gerust een berichtje op LinkedIn of neem contact op met Solviteers via het telefoonnummer (+31) 113 23 56 10.

 

 

DELEN

Meer informatie?

Livechat

Wij zijn via Livechat beschikbaar tussen 08:30 en 17:00 uur.

Start Livechat

WhatsApp

Via 06 14879903, op werkdagen tussen 08:30 en 17:00 uur.
We reageren binnen 15 minuten.