Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft. Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backup strategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud

15 reacties

  1. Misschien een beetje naiv, maar… Ik maak regelmatig privé (ca. 1x per week) en dagelijks werk gerelateerd een backup. De laatste loopt automatisch ’s nachts op een harddrive aan een andere locatie. Zou bij mij dus de boel branden, dan heb ik altijd nog mijn backup. Zo gedaan, heb ik dus maximaal een dataverlies van 24 uur. De back-ups blijven bewaard gedurende 4 weken, daarna wordt er automatisch verwijderd. Het risiko voor een klant/kontakt om dus na langer dan 4 weken te zijn verwijderd uit bestanden, toch weer automatisch na een back-up op te duiken is relatief gering. De boekhouding moet ik in een niet te veranderen vorm tien jaar na afsluiting van mijn boekjaar opslaan, maar dat alleen om fiscale redenen, voor een backup wordt die nooit gebruikt (wat ook samenhangt met het feit, dat deze gegevens niet meer mogen worden veranderd en dus geblokkeerd zijn voor mutaties).

  2. Met dat bijltje heb ik eerder gehakt. Wat wij in de organisatie hadden opgesteld is een register van verwijderingsverzoeken. Indien een van de klantgerelateerde systemen teruggezet moest worden was het een koud kunstje om het register erbij te pakken en de verwijderingsverzoeken te herhalen. Voordeel was dat het niet ging om honderden to duizenden verwijderingsverzoeken want dan zou er wat geautomatiseerd moeten worden vrees ik.

    1. Dan kom je een beetje in de situatie dat je daarmee het probleem verplaatst, want ook het registreren van een verwijderverzoek (en dus eigenlijk een vlaggetje bij een klantrecord zetten van “deze klant is verwijderd”) is het registreren van een nieuw persoonsgegeven. In principe hoort dat verwijderverzoek dus ook onder het vergeetrecht te vallen, want anders kun je altijd zeggen “deze klant heeft bij ons bestaan maar is verwijderd”.

      Ik ben dus benieuwd hoe ver dat vergeetrecht en de bewijslast daarop gaat binnen de AVG: Betekent dat dat je de gegevens van een klant moet behandelen alsof de klant nooit heeft bestaan?

      1. De administratie van vergeetverzoeken valt niet onder het vergeetrecht. Ik moet kunnen noteren hoe ik met zulke verzoeken ben omgegaan, dat is een eigen noodzaak (6f) die maakt dat die gegevens actueel zijn. Natuurlijk noteer je daarin het minimale om de klant te herkennen, iemands bestelgeschiedenis bijvoorbeeld gaat wel écht weg.

  3. Hoe zit dat met persoonsgegevens in persoonlijke mailboxen/mailarchieven of homedirectories? Kan je eisen dat een bedrijf alle plaatsen waar persoonsgegevens kunnen staan gaat doorzoeken? En zoja, wie moet dat dan doen? In verband met de privacy van de werknemers kan je het niet echt laten doen door een beheerder.

    1. Waarom kan een beheerder dat niet doen? Het is toch deel van zijn werk om dingen op te schonen? Natuurlijk moet hij in beginsel van privémapjes afblijven, mits duidelijk gemarkeerd, maar dat levert zelden een probleem op. Zeker bij verwijderen: aanklikken zonder te openen en shift-delete, of rm -rf priveshizzle/ vanaf de commandline. Ik maak me daar geen zorgen over eerlijk gezegd.

      1. Hoe gaat die beheerder de persoonsgegevens vinden? Zeker als het gaat om wat informelere zaken als notities in OneNote ofzo? Verwijderd hij dan alleen de specifiek informatie of gooit hij het hele bestand weg?

      2. Een beheerder zou dat misschien niet moeten doen omdat het kan voorkomen dat er data is dat een beheerder niet behoort in te zien. Uiteindelijk is een beheerder ook maar slechts een beheerder. Ik heb wel meegemaakt dat er plekken waren op de fileserver waar systeembeheerders technisch gezien wel konden komen, maar waarvan duidelijk was dat ze helemaal niets hadden te zoeken. Om dan utgebreid bestanden te gaan openen op zoek naar persoonsgegevens, lijkt me dan resulteren in een catch22… In ieder geval in een situatie waar je als beheerder niet in wil verzeilen. Naar mijn (niet juridische) mening is er over deze wetgeving (weer eens) te weinig (ik zal niet zeggen niet) over is nagedacht en technisch gezien geeft het gewoon enorm lastige situaties. Als de wetgeving nu ook nog iets op zou lossen…. maar ook dat zie ik niet direct…

      3. De praktijk is dat privé en werk zaken meestal door elkaar staan. Dat maakt het in deze lastiger. Als beheerder blijf ik zoveel mogelijk uit mappen en mail van collega’s en klanten. Echter ontkom je er niet aan dat je toch wel eens wat ziet dat privé is. Tenzij voor mij duidelijk is dat ik verplicht ben het te melden zeg ik er in beginsel niets over zolang dat mogelijk is.

        Als iemand een praktische oplossing voor dit probleem heeft dat kan werken hoor ik het graag.

  4. Ik dacht dat de AVG ook ging over een data lek, hoe zit het als er ook backups gestolen worden bij een data lek? Wat als hierin persoonsgegevens staan van mensen die gevraagd hebben om verwijdert te worden? Zie dan maar eens te bewijzen dat je voldaan hebt aan het verzoek tot verwijderen van gegevens, ik denk dat hackers niet aan bron vermelding doen.

    Hoe voorkomt de AVG dat bedrijven datamining doen op hun backups?

    1. Als een backupmedium verloren wordt dan is dat een potentieel datalek en moet dat gemeld worden bij de Autoriteit Persoonsgegevens. (Tenzij je je backups versleuteld opslaat.)

      Een backup is een kopie van je gewone bedrijfsdata; de AVG mag bepaalde vormen van dataverwerking verbieden, maar ze kan die niet voorkomen. Je hebt maar te hopen dat het bedrijf netjes genoeg is om de AVG te volgen, of bang is voor de boetes bij overtreding.

  5. Bij ons bedrijf hebben een scheiding gemaakt bij de dataretentie tussen IT gerelateerde gegevens (logging en backups) en Juridisch fiscale gegevens (contractgegevens waaronder privégegevens klanten). Voor de IT gerelateerde gegevens (diverse logging bestanden en backups waaronder privé gegevens medewerkers) houden wij de “SOx ” benadering vast van twee jaar dataretentie.. Daarna automatisch verwijdering. De juridisch fiscale gegevens worden wettelijk 7 jaar vasthouden na verwijdering van de relatie. Bijgaand een handig overzicht, waarbij de lijntjes een beetje zijn weggevallen. Hierbij kan je snel en aantoonbaar aangeven wat je doet (Doelbinding bij data retentie): Soort gegevens Duur van bewaarperiode Reden van duur bewaarperiode Manier van uitfasering aan het eind van de bewaarperiode Operationele gegevens Gearchiveerde gegevens Functionele sporen van data Log bestanden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.