Bewaren van persoonsgegevens: het mag niet maar het moet wel!

| AE 6082 | Privacy | 16 reacties

ddr-backup-cartridge.jpgEen lezer vroeg me:

Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bv. financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk backups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer

noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel “leveren bestelling” zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.

Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.

De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart (art. 52 Algemene wet inzake rijksbelastingen). Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.

In de praktijk moet je dus eigenlijk per document bepalen “waarom staan hier nog persoonsgegevens in” en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bv. de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.

Bij een backup is dit een lastige. Het is inderdaad een hele berg werk om in een backup van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens “wissen hoeft niet als dat veel werk is”. En vanuit privacyoogpunt is “dan moet je je backupstrategie maar anders inrichten” een goed verdedigbaar standpunt.

Maar een lastige blijft het. Weten jullie een backupstrategie die zo privacyvriendelijk mogelijk is? Ik kom niet verder dan “maak geen incrementele backups want dan zit je met een hele oude full backup met data die krachtens Wbp weg moet”.

Arnoud

Zweedse provider zet VPN in tegen bewaarplicht

| AE 2408 | Privacy | 9 reacties

vpn-private-network-tunnel-bewaarplicht.pngDe Zweedse isp Bahnhof gaat het internetverkeer van alle klanten leiden over een vpn-verbinding, meldde Tweakers afgelopen vrijdag. Door het netwerkverkeer over zo’n versleutelde verbinding te leiden kan de provider niet meer zien wat voor sites en diensten klanten gebruiken, zodat ze die informatie ook niet kan doorgeven aan de overheid in het kader van de Zweedse bewaarplicht (dataretentie).

In Zweden lopen ze kennelijk een beetje achter, want de Richtlijn dataretentie is uit 2006 en had dus volgens mij allang in de Zweedse wet moeten staan. (En in andere landen is hier en daar al geoordeeld dat de bewaarplicht ongrondwettig is.) In ieder geval, in Zweden geldt dus nu ook een Wet bewaarplicht op grond waarvan providers bepaalde informatie moeten bewaren over hun klanten, zoals de MAC- en IP-adressen van klanten, de logon- en logoff-tijden van elke internetsessie en de mailadressen van alle mails die via de provider worden verzonden of ontvangen. Niet verplicht is het bijhouden van elke website die wordt bezocht.

De Richtlijn bewaarplicht verplicht echter niet tot het actief genereren van die informatie. De eis is dat je bewaart wat je verzamelt, meer niet. Artikel 3 van de Richtlijn zegt expliciet:

[De wet bewaarplicht eist dat] gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt … worden bewaard overeenkomstig de bepalingen van deze richtlijn

Wie dus die gegevens niet nodig meent te hebben als provider, logt die gegevens simpelweg niet en hoeft ze dan ook niet te bewaren.

Wat echter de meerwaarde is van zo’n VPN, ontgaat me volledig. Ten eerste omdat je dus niet hoeft bij te houden welke websites men bezoekt, dus waarom zou je dat dan afschermen? Ten tweede omdat ik gewoon niet snap hoe dat VPN gaat werken. Bij Torrentfreak lees ik:

“Technically, this is a stealth section, we will store all data up to this point of invisibility,” adds Karlung, referring to the first-hop connection the customer makes with the company’s servers when going online.
“What happens after that is not our responsibility and is outside Bahnhof. So the only thing we are going to store is very little information, which in practice will be irrelevant.”

Als ik dit goed begrijp, dan gaat de VPN-verbinding dus vanaf mijn thuisnetwerk naar de eerste hop bij Bahnhof. Vanaf daar gaat het onversleuteld verder. Maar dan kan de provider toch nog steeds zien welke klant (die is en blijft identificeerbaar via de inkomende poort) naar welke website gaat?

Volgens mij kan dit alleen werken als het VPN-eindpunt buiten het netwerk van Bahnhof staat. Zouden ze dat bedoelen met “outside Bahnhof”? Maar bij welke dienstverlener wordt dan het eindpunt van de verbinding gelegd?

Arnoud

Hoe lang mag ik camerabeelden bewaren?

| AE 2135 | Privacy, Security | 21 reacties

camera-cameratoezicht-filmen-surveillance-toezichtEen lezer vroeg me:

Ons bedrijf gaat buiten camera’s ophangen omdat er regelmatig dingen gestolen worden uit de auto’s op het parkeerterrein. Er worden netjes borden opgehangen, maar er is nu discussie over hoe lang de beelden bewaard mogen worden. Ik had gehoord dat dat maar drie dagen mag zijn, maar collega’s hebben het over een week, 24 uur of zelfs drie maanden. Welke termijn geldt er nu?

De wet noemt geen expliciete termijn voor het bewaren van camerabeelden. Camerabeelden zijn persoonsgegevens, en het maken van camerabeelden valt dus onder de Wet Bescherming Persoonsgegevens. Artikel 10 lid 1 bepaalt dat je persoonsgegevens (en dus camerabeelden) niet langer … dan noodzakelijk” mag bewaren voor de doelen waarvoor je ze verzamelt.

Je mag dus op zich de beelden zo lang bewaren als je zelf nodig acht, mits je maar kunt uitleggen waarom die termijn absoluut noodzakelijk is. Zoek je bijvoorbeeld bewijs van stelselmatig gedrag dat alleen op zondag plaatsvindt (diefstal uit auto’s bij een kerk bijvoorbeeld), dan zul je beelden van meerdere zondagen moeten bewaren om ze te kunnen vergelijken.

Er is één plek waar een termijn wordt genoemd. De vrijstelling voor videocameratoezicht bepaalt dat

De persoonsgegevens moeten uiterlijk 24 uur nadat de opnamen zijn gemaakt, of na -afhandeling van de incidenten, worden verwijderd.

Dit betekent dus niet dat het verboden is beelden langer dan 24 uur te bewaren. Het betekent alleen dat je geen beroep op de vrijstelling kunt doen. Moet je beelden dus langer dan 24 uur bewaren, dan zul je een melding moeten doen bij het CBP van je videocamerabewakingssysteem, en daarbij moeten vertellen hoe lang je de beelden dan wel bewaart.

24 uur lijkt me trouwens wel heel erg kort, ik kan me niet voorstellen dat in de praktijk bedrijven echt elke dag de opnames bekijken. Het zou een goede zaak zijn als deze termijn naar een week wordt opgerekt, al was het maar omdat je dan legaal verklaart wat iedereen toch al doet.

Arnoud