Bewaren van persoonsgegevens: het mag niet maar het moet wel!

ddr-backup-cartridge.jpgEen lezer vroeg me:

Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bv. financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk backups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer

noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel “leveren bestelling” zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.

Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.

De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart (art. 52 Algemene wet inzake rijksbelastingen). Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.

In de praktijk moet je dus eigenlijk per document bepalen “waarom staan hier nog persoonsgegevens in” en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bv. de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.

Bij een backup is dit een lastige. Het is inderdaad een hele berg werk om in een backup van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens “wissen hoeft niet als dat veel werk is”. En vanuit privacyoogpunt is “dan moet je je backupstrategie maar anders inrichten” een goed verdedigbaar standpunt.

Maar een lastige blijft het. Weten jullie een backupstrategie die zo privacyvriendelijk mogelijk is? Ik kom niet verder dan “maak geen incrementele backups want dan zit je met een hele oude full backup met data die krachtens Wbp weg moet”.

Arnoud

16 reacties

  1. Dit is inderdaad lastig – en dus ook iets waar het vaak misgaat. Eigenlijk kun je dit alleen goed regelen als je er al bij het vastleggen van de gegevens rekening mee houdt.

    Vandaar dat de nieuwe Privacyverordening niet zozeer uitgaat van controle achteraf, maar borging vóóraf eist door expliciete systeem- en protocolafspraken. Eenieder wordt zo gedwongen van te voren na te denken over dit soort zaken, en vast te leggen hoe de wettelijke bepalingen in de praktijk nageleefd zullen (kunnen) worden.

    1. Dat kan zo zijn, maar ik heb zo het vermoeden dat het in de praktijk totaal anders gaat. Zeker nu iedereen websjopje kan spelen. Hoeveel webshops ik al niet gezien heb die totaal geen benul van regels hebben… ik kan ze inmiddels niet meer tellen. Ze reageren ook allemaal anders als ik ze er op aanspreek. Sommigen menen hun eigen regels zelfs te kunnen maken, waar andere je bedanken en er mee aan de slag gaan.

  2. Maak meerdere backups. Je verkoop en klantcontacten aan de ene kant en je admnistratie aan de andere kant. En dan gooi je de backups van je actuele business vaker/sneller weg dan de backups van je administratie of zoiets.

  3. Zo lang je geen jaar back-up bewaar (die je 1 of meerdere jaren bewaar) zal het wel meevallen. Meeste back-up schema’s gaan er toch wel vanuit dat na x maanden de media overschreven worden. Zo niet, dan pas je dat schema aan. Na x tijd, zeg altijd binnen een jaar, kunnen de gegevens dan ook van de back-up gewist zijn.

    Leuk dat je hier een blog over schrijft, stof om over na te denken.

  4. Backups, moet een keer fout gaan. Zelf meegemaakt bij Simpel, nadat hun server gehackt was en dus een backup teruggezet. Was ik in eens weer klant, kreeg zelfs rekeningen, paar mails over verzonden, kreeg incasso. Dit is echt een probleem, backups bevatten klantgegvens die niet meer mogen bestaan.

    1. De recoveryprocedure bestaat uit meer dan alleen het terugzetten van de backup; de mutaties sinds de laatste backup moeten wederom op de database uitgevoerd worden. Als een bedrijf dat niet kan dan is er iets mis met het ontwerp van hun “disaster recovery” procedure, als een bedrijf dat niet doet dan is dat een fout in de uitvoering.

  5. Hoe zit het eigenlijk met persoonsgegevens die worden bewaard op plekken waar de beheerder niet mag kijken? Bv mailboxen en homedirs? En backups van die zaken die een medewerker zelf maakt op een dvd. De gemiddelde staat vol met persoonsgegevens en genoeg mensen die ieder jaar een archief backup maken van hun outlook.pst.

    Wat weegt zwaarder: de privacy van de klant of de privacy van de werknemer? Want ik zal 1 van beide moeten schenden om aan de WBP te voldoen.

    1. Da’s een lastige. Inderdaad mag je niet zomaar kijken in iemands privémapjes. Maar je kunt wél loggen wat iemand doet met de officiële systemen met persoonsgegevens. Een “Export all to Excel” knop lijkt me iets waarbij je wel uitleg mag verlangen.

      Backups kun je centraal regelen, da’s ook beter want stel die medewerker neemt ontslag en zijn huis brandt af. Hoe kun jij dan nog bij zijn mailboxarchief voor de continuïteit?

      (NB meelezende ICTRecht medewerkers: dit was geen dreigement dat ik je huis in de fik steek als je ontslag neemt. Ik zocht gewoon een rampscenario waarbij eigen backups zinloos zijn.)

  6. Een backup is niet hetzelfde als een archief. Een organisatie hoort een beleid te hebben voor welke informatie gearchiveerd wordt en informatie moet zo snel mogelijk in het archief belanden. Voor het archief hoort een plan te bestaan waarin beschreven wordt wanneer en met welke inervallen een archief opgeschoond wordt. Een backup is een middel voor de IT -afdeling om snel een computer te kunnen herstellen. Backups zijn “vers-waren”. Er is geen enkele reden om backups langere tijd te bewaren

    1. Dit is wel een hele grapppige stelling. Backups zijn nodig voor disaster recovery, niet voor het snel herstellen van een computer. daar zijn hele andere middelen voor (image deployment e.d.), van individuele computers wordt zelfs vaak niet eens een backup gemaakt daar er bij correct gebruik nooit data op een idividuele PC staat die niet verloren mag gaan. Bij servers ligt dit uiteraard anders. Daarnaast zijn backups bijna altijd differentieel of incremental (Geen enkel bedrijf gaat iedere dag zijn TB’s aan data full backuppen), daar is

      1. Storage te duur voor
      2. Bijna geen enkel bedrijf (in het MKB tot 500 werkplekker iig) heeft de infra die nodig is om dat te kunnen doen qua snelheid.

      Daarnaast wil je altijd gegevens kunnen terughalen mocht er iets verloren gaan door gebruikerrs fouten, virus infecties, defecte hardware. Wij hebben dan ook een backup strategie waarbij we van de laatste 48 dagen iedere file, versie, database, mailbox kunnen herstellen binnen enkele minuten. Daarnaast hebben we week, maand en jaar backups met een retentie tijd van minimaal een jaar (Dit wordt zelfs verplicht door onze accountant).

      Daarnaast heb ik bij mijnn vorige werkgever zelfs een bedrijf failliet zien gaan omdat ze na eenn server crash de backups niet op orde hadden en zelfs data recovery diensten geen uitkomst meer boden.

  7. De Wbp zegt inderdaad nergens dat wissen niet hoeft als dat veel werk is, maar ze zegt wel het volgende: “…Het is al voldoende dat u de gegevens buiten het bereik van de actieve administratie brengt en in een archiefdepot of op een aparte schijf opslaat…” http://www.cbpweb.nl/downloadsinf/infva_bewaartermijnen.pdf

    Volgens mij hoef je een backup niet onder de actieve administratie te rekenen en had je artikel een stuk korter gekund met het antwoord. Ja, op backup bewaren mag onbeperkt.

    1. Dat is inderdaad een oplossing. Ik twijfel wel of het nog populair is vandaag de dag om backups fysiek ergens in depot te leggen. Het is namelijk echt de bedoeling dat niemand er (normaliter) meer bij kan, bij zo’n archiefdepot. En ik durf te wedden dat veel backups die vandaag de dag worden gemaakt, wél benaderbaar zijn vanuit de gewone bedrijfsvoering.

      1. Volgens mij cherry pick je wat woorden om je argument te kunnen maken mbt het depot. Er staat ook “of op een aparte harde schijf”. Een backup kan een aparte harde schijf (of tape) zijn. Vraag verder een random kantoorfunctionaris of die even een restore maakt. Forget it. Dat gaat via een IT support medewerker en je kunt daar ook de controle neerleggen. Dat is een organisatorische aanpassing en geen technische.

        1. Nou ja, ik zie auteursrechtelijk geen probleem met het bewaren van een aparte harde schijf die verder niet wordt gebruikt of uitgelezen. Waar het om gaat, is dat “verder niet gebruikt”. Een backup wordt gewoonlijk wél gebruikt, namelijk om bij dataverlies tot herstel over te kunnen gaan. En dat is zowel bij de Wbp als de Auteurswet niet de bedoeling. Die data mag niet meer actief zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.