Een lezer vroeg me:
Ik maak in onze organisatie heel traditioneel backups op een Write Once Read Only (WORM) medium. Zo weet ik zeker dat die data niet aangetast kan worden bij cyberaanvallen. Echter, nu zegt onze FG dat dit eigenlijk niet toegestaan is. Van de AVG moet het mogelijk zijn om ook persoonsgegevens uit backups verwijderd te krijgen. Klopt dit? En moet ik dan overstappen naar een ander opslagmedium, met de extra risico’s van dien?De algemene regel uit de AVG is inderdaad dat áls persoonsgegevens verwijderd moeten worden, dit overal moet gebeuren. Maar je moet dat per verwerking beoordelen. Een account van een webshop-klant opheffen is één ding, diens gegevens uit de financiële administratie weghalen iets anders en de factuur verwijderen natuurlijk nog weer een stap verder.
Bij backups is dus de vraag: moet deze data op deze manier (dus met de persoonsgegevens) bewaard worden, of kan deze al weg? Hiervoor moet je dus kijken naar de reden om de brongegevens te wissen. Gaat het om een kopie van dat klantaccount of een kopie van de factuur? De reden om de brongegevens te moeten wissen, geldt net zo goed voor de backup.
Het is zeker mogelijk dat een backup niet aan te passen is. De AVG eist niet het onmogelijke, dus je hoeft niet naar een meervoudig beschrijfbaar medium over te stappen. Maar je moet wel onthouden dát er een geldig verwijderverzoek ligt voor bepaalde gegevens, zodat je dit bij terugzetten van de backup kunt doorvoeren. Anders is dat klantaccount straks gewoon weer terug of staat dat mailadres weer op de nieuwsbrief geabonneerd.
Dit leidt tot een paradox: je creëert dan meer persoonsgegevens (de “wissen na restore” lijst) in reactie op een verzoek om gegevens weg te gooien. Maar in deze situatie kun je niet anders. De data is pas te wissen na terugzetten van de backup naar een meervoudig beschrijfbaar medium, dus moet je nu onthouden dat je dan die wisactie uitvoert. Dat moet dus zo, en als het moet van de AVG dan mag het van de AVG.
Arnoud
Ik mag aannemen dat de vraagsteller wel een retentiebeleid heeft voor diens backups, en bijvoorbeeld de oudste backups na (b.v.) 180 dagen alsnog vernietigt. En niet een grote kast opbouwt met alle backups ooit.
Dat is vooralsnog ons antwoord op verwijderverzoeken. Wij verwijderen het uit de actuele productiedata dus het is niet meer zonder meer toegankelijk, alleen nog voor een beperkte groep en in duidelijk gedefinieerde omstandigheden. We hebben een gedocumenteerd en automatisch proces dat backups na verloop van 180 dagen ook automatisch verwijderd worden, dus je kunt er op rekenen dat na zes maanden je gegevens echt overal weg zijn. Alhoewel niet bij de rechter getoetst vind ik dat een alleszins redelijk antwoord op een verwijderverzoek waarbij de belangen van de betrokkene en die van de organisatie beide meewegen, en het uiteindelijke doel van de betrokkene bereikt wordt.
In een dergelijke situatie ga ik er van uit dat je naast de bv wekelijkse of maandelijkse WORM schijven met een full-backup voor de lange termijn, een oplossing hebt voor tussentijdse aanpassingen, bv. log-shipping, waarbij je na een catastrofale gebeurtenis de boel kunt herstellen, dan komen die wis-acties als het goed is opnieuw voorbij.
De FG zit er flink naast. Indien het systeem door een event wat zowel fysiek als logisch kan zijn onder andere door opzettelijk onklaar maken (cyberattack) dan is er op dat moment sprake door de onbeschikbaarheid van een ernstig datalek. Dit is als zodanig in de GDPR benoemd. Dat alle ophef in de media gaat over het niet door een terechte verwerking gaat geeft een ernstig en schokkend probleem rond de afwegingen in het privacy argument aan. Een ander voorbeeld is: Als je leest dat een dader van molest een slachtoffer een slachtoffer van privacyinbreuk is maar het slachtoffer van molest geen aandacht heef dan gaat er iets ethisch goed mis.
Een backup voorziening is en technische voorziening waarbij de individuele gegevens niet meer te isoleren zijn. Als dat wel zou kunnen voldoet het niet meer aan de eisen voor een systeemherstel. Beleidsmakers zijn helaas te vaak in een fantasiewereld belandt wat wel zou kunnen. Hoog tijd voor meer realisme en een echte etische insteek ipv op ophef te reageren.
Backups zijn toch altijd historische data? Ik kan me moeilijk voorstellen dat een AVG eist dat een verwijderverzoek met terugwerkende kracht moet gelden alsof iemand nooit in je systeem heeft bestaan.
Want dat wordt in de uitvoering inderdaad een beetje moeilijk: Moeten we dan ook in de archiefkast van 20 jaar geleden door de klappers gaan bladeren om te kijken of er mogelijk ooit een keer een sales-telefoontje naar die persoon is gegaan voordat ie klant bij ons werd?
Waarom is het relevant te bewaren dat iemand in je systeem heeft gestaan? Het antwoord op die vraag bepaalt of je dat mag bewaren. “Dat moet van de belastingdienst” is bijvoorbeeld een prima antwoord. “Meneer heeft aangegeven na zijn pensioen weer klant te willen worden” ook. Maar “wij gooien geen dossiers weg want je weet nooit” is geen antwoord. En “misschien komt er nog een claim van mevrouw over een paar jaar” ook niet.
Wat ik bedoel te zeggen is dat je bij zo’n verwijder-verzoek toch niet retro-actief door alle archieven hoeft te gaan grasduinen tot elke mogelijke mention van mevrouw De Vries verwijderd is? En dan bedoel ik vooral ook dossiers die zouden kunnen bestaan voordat de AVG misschien ooit een ding was, in een stoffige map uit 1987.
Backups om technische redenen vind ik een ander verhaal mits je daar een duidelijke retentietijd op hebt. Want de backups die je op een doos aan floppy’s hebt staan zullen toch niet meer relevant zijn voor je tegenwoordige bedrijfsvoering.
Eh, nou ja eigenlijk wel, waarom héb jij nog mappen uit 1987 met informatie over mevrouw De Vries?
Ik snap dat dit weinig prioriteit heeft en zolang die mappen niet gedatalekt worden (de schoolrapporten van prinses Beatrix zijn misschien interessant voor de roddelbladen) verwacht ik ook geen handhaving hierop. Maar als dit een tentamenvraag is, dan is het antwoord “ja, die oude gegevens moeten ook weg tenzij je een reden hebt ze te bewaren”. Medische dossiers gaan bijvoorbeeld 20 jaar mee en oudere informatie kan in principe weg (tenzij nog actueel relevant).
Maar dat betekent dus eigenlijk dat je als bedrijf geen archief mag bijhouden.
Het personeelsblad van de NS of Philips uit de jaren 80 bevatte ook persoonsgegevens. Moet de hele geschiedenis dan maar actief vernietigd worden?
(Je zult waarschijnlijk ‘belangenafweging’ antwoorden, maar hoe weeg je een toekomstig POTENTIEEL belang af tegen een huidig reeel belang?)
Er is bijvoorbeeld de laatste weken heel wat ophef geweest over digitaal toegankelijk maken van oorlogsarchieven. Als de AVG toen al had bestaan en was toegepast, was er nu niet veel meer geweest om toegankelijk te maken.
Archieven van algemeen belang zijn expliciet uitgezonderd. Het gaat echt om ‘gewone’ oude mappen en dossiers, waarom moet je die bewaren?
Het is natuurlijk moeilijk om te bepalen wanneer een archief van algemeen belang is. Bovendien, en dat is nu eenmaal een eigenschap van archieven, zul je pas in de toekomst weten of dat zo is.
Er zijn bijv namenlijsten van wie er in de jaren 50 met welke boot naar Amerika emigreerde. Ik kan moeilijk een argument bedenken waarom dat van algemeen belang zou zijn, toch zijn vele familiehistorie-onderzoekers er blij mee.
Zo kan ik me bijvoorbeeld ook voorstellen dat een archief uit 1987 waarin staat dat een zekere scholier een stage heeft gedaan bij bedrijf X waardoor zijn interesse in onderwerp Y ontstaan is, waar hij 50 jaar later een Nobelprijs voor krijgt, volledig irrelevant is, terwijl in 2037 velen daarin geinteresseerd zullen zijn.
En het feit dat Bernhard van Lippe-Biesterfeld in de jaren 30 lid was van enkele toen gangbare studentenverenigingen wordt nog steeds als belangrijk gezien. Hoe hadden de mensen dat toen moeten kunnen weten? Als ze toen al rap het archief hadden ‘gedeleet’ omdat dat nu eenmaal volgens de toenmalige AVG nodig was, had niemand dat vreemd gevonden.
Het punt is…. je kunt niet voorspellen wat in de toekomst belangrijk wordt. Zelfs het feit dat Mw De Vries in 1987 een offerte voor een nieuwe keuken heeft laten maken maar er van heeft afgezien, kan belangrijk worden.
Je hebt gelijk, het klantenbestand van een bootreis van 80 jaar geleden zou vandaag onder de AVG vernietigd moeten worden. Voor historici is dat erg vervelend. Maar zou dat betekenen dat KLM alle vluchtgegevens met passagiernamen mag bewaren om ze in 2080 te publiceren als “historisch archief vliegbewegingen 2010-2030”?
Bij de overheid is de regeling wel goed doordacht. Belangrijke soorten informatie worden als archiefwaardig aangemerkt, en gaan na operationeel gebruik naar het Nationaal Archief. Die zoekt dan uit wat van algemeen belang is, en kan bv. gegevens delen met onderzoekers en bij gebleken grote belangstelling ze breder openbaar maken.
Het probleem is voor mij uiteindelijk dat álles in de toekomst relevant kan worden. Ik heb een kopie van geheel Hyves (alle data van 2004 tot 2013, iedere dag een snapshot) en ik weet zeker dat ik daar over 20 jaar wat leuks in ga vinden van degene die dan minister-president, korpschef Nationale Politie of Minister van Zeden gaat zijn. Toch voelt het verkeerd dat ik die data mag bewaren met dit speculatieve motief.
Inderdaad. En juist daarom kun je niet zoveel met jouw eerdere opmerking ‘Archieven van algemeen belang zijn expliciet uitgezonderd’
Er zijn archieven die duidelijk van algemeen belang zijn. Er zijn er misschien ook die dat duidelijk niet zijn. De andere zijn echter allemaal ‘grijze zone’. Je kunt niet bepalen of die van algemeen belang zijn of niet.
Inderdaad, maar jij presenteert het nu zo alsof je in de toekomst kwaadaardige bedoelingen hebt.
Maar als jij zegt: Ik bewaar de archieven van de studentencorpora, grote kans dat daar een toekomstige bewindspersoon bij zit en dus is dat zeer waarschijnlijk in de toekomst relevante data om te evalueren of die persoon chantabel is, wordt het al heel anders.
Wat is het verschil tussen Hyves en de archieven van het corps? Ik heb moeite met het motief van de archivaris meewegen in het criterium of iets archiefwaardig is.
Sowieso ben ik van de school ‘veel bewaren, maar mildheid betrachten bij het oordelen’. Ik heb de indruk dat ‘mildheid betrachten bij het oordelen’ als onrealistisch wordt gezien, en dat daarom ‘veel bewaren’ onder de AVG aan banden is gelegd.
Het motief van de archivaris kan best van belang zijn. Zo zullen de veiligheidsdiensten bijvoorbeeld een bepaald archief beter kunnen verantwoorden dan een sociopathische tiener in een zolderkamertje. En zo kan het bestuur van Vindicat in Groningen best een belang hebben bij een archief over hun vereniging terwijl een riooljournalist dat niet heeft.
Maar objectieve reden is zeker van belang. Bij mijn voorbeeld is de kans op relevantie veel groter dan bij jouw voorbeeld (met andere woorden: minder bijvangst) zodat de afweging best anders KAN zijn.
Bovendien is mijn reden ‘de chanteerbaarheid van bewindslieden evalueren’ op zich een valide reden, bijvoorbeeld voor de veiligheidsdiensten, terwijl jouw reden ‘ik weet zeker dat ik daar over 20 jaar wat leuks in ga vinden’ dat minder is. Wat is dat ‘wat leuks’? Hoe stel je je voor dat je dat ‘wat leuks’ gaat gebruiken als je het vindt?
Uiteindelijk komt het allemaal neer op: het is een glijdende schaal, en de beoordeling of iets in de toekomst van algemeen belang is, is subjectief, en de beoordeling van de kans daarop is dat al helemaal.
Eens. Misschien moeten we het dan anders benaderen. Na verval van je operationele noodzaak mág je voor archiefdoeleinden bewaren, mits je dat maar zo borgt dat andersoortig gebruik (en de bijbehorende lekkage) onmogelijk is. Dus offline storage, geprinte documenten in een archiefkast, overbrenging naar een Nationaal Archief-achtige instelling die de afweging kan maken wanneer dingen openbaar mogen worden. Kies maar, maar wat we niét willen is dat jij je klantenadministratie online laat staan met het argument “dit wordt ooit een archief van algemeen belang”.
Akkoord, maar de vraag begon met ‘klappers in een archiefkast’, dus niet online.
Het originele artikel ging ook om back-ups op write-only media, een spindel met beschrijfbare DVD’s dus.
Dat is prima te vergelijken met klappers in een archiefkast als je ze in de kluis van het bedrijf bewaart.
Ik denk dat het publiek geheim is dat ik zeer kritisch op de AVG ben.
Aan de ene kant is deze wetgeving volkomen doorgeslagen terwijl aan de andere kant onder de AVG de echt zorgelijke privacy schendingen gewoon doorgaan.
Het probleem is mijn inziens niet zozeer of de databestanden zelf al dan niet bewaard worden, maar het feit dat het allemaal online staat, doorzoekbaarr is of door hackers te bemachtigen. Dat is het grote verschil met de de passagierslijst van de Titanic en de Mayflower: Iedereen op die schepen was al lang dood voordat dit doorzoekbaar werdt voor jan en alleman.
Ik heb er dan ook geen enkele moeite mee als men met een legitiem doel verzamelde privacy gevoelige data bewaart, ook nadat daar bedrijfstechnisch geen belang meer voor is. Maar dat zou dan wel offline opslag moeten zijn die niet op afstand benaderbaar is.
Als je het zo belangrijk vindt mogelijke historische data vastte leggen: offline archival storage en pas online weer beschikbaarstellen – indien relevant – op zijn vroegst na 120 jaar, zodat alle vermelde personen gegarandeerd hemelen zijn.
Ondertussen hebben we de AVG en moet ik mijn Facebook account aanhouden, zodat ik zie wat anderen over mij posten, zodat ik ze vriendelijk kan verzoeken geen foto’s en verhalen over mij te plaatsen. Dat was namelijk 1 van de redenen dat ik Facebook nam: vrienden die mij benaderde met zaken die ze niet hoefden en naar mijn mening konden weten. Mar andere vrienden hadden zonder filter op Facebook geschreven. Inmiddels heb ik ze allemaal wel redelijk opgevoed en vragen ze het voor ze zaken over mij online zetten, maar af en toe gaat het nog steeds fout. En wat doet de AVG hieran? Helemaal niets! Als ik geen FB account heb kan ik er geen kennis van nemen, en als ik en FB account heb dan vindt de AVG het allemaal wel prima omdat ik ermee ingestemd heb…
Crypto-shredding is een mogelijke technische oplossing. Je kunt specifieke gegevens versleutelen, zoals paspoortnummers, burgerservicenummers, bankrekeningnummers, persoonsnamen of records in een database. Bovendien kunnen gegevens in het ene systeem worden versleuteld met aparte sleutels wanneer dezelfde gegevens in meerdere systemen voorkomen. Wanneer specifieke gegevens worden versleuteld (mogelijk met verschillende sleutels), maakt dit gerichtere gegevensvernietiging mogelijk. Het is niet nodig om toegang te hebben tot de gegevens zelf (zoals een versleutelde back-uptape); alleen de versleutelingssleutels hoeven dan te worden vernietigd. Het ‘beste’ is dat de applicatie zelf (niet de backup applicatie) deze techniek ondersteund.
Hoe werkt dat in het concrete geval van het onbruikbaar maken van de gegevens van een specifieke klant? Dan moet je (tenminste) een sleutel per klant hebben. En uit oogpunt van gegevensherstel na een systeemcrash ook een backup van de sleuteltabel(len). Maar als je alles op WORM media archiveert, kun je nog steeds de elementen van de sleuteltabel niet simpel wissen.
Het idee van gerichte versleuteling lijkt me meer een methode om toegang tot groepen van gegevens voor applicaties en medewerkers te beperken.