Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft. Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backup strategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud

Google moet berichten over afgesloten strafzaken vergeten

Google moet een belastend zoekresultaat over een ontuchtpleger uit Doetinchem uit de zoekmachine verwijderen, las ik in Tubantia. Gauw het vonnis erbij gepakt: Google moet inderdaad uit haar zoekresultaten (bij Googelen op ’s mans naam) een Facebookpagina weglaten omdat deze vertelt over de strafrechtszaak, met naam en toenaam (en foto) van de man. Omdat het hier gaat om strafrechtelijke gegevens, is het niet toegestaan deze te verwerken.

De uitspraak is een van de weinige in Nederland waarin Google zoekresultaten moet opschonen. Meestal wint de zoekmachine, en dat is vrij logisch: de lat uit het Europese vergeetrechtarrest is vrij hoog. Het moet gaan om verouderde informatie die niet meer relevant is en ook nog eens beschamend. Wanneer het gaat om zaken met enige nieuws- of actualiteitswaarde, wordt daar eigenlijk nooit aan voldaan.

Nu hebben we in vrij korte tijd twee zaken gehad (hier de andere) waarin strafrechtelijke informatie centraal staat, en de rechter vrij simpel is: weg ermee. En zuiver juridisch gezien lijkt dat te kloppen. Strafrechtelijke persoonsgegevens vallen onder dezelfde categorie als bijvoorbeeld medische gegevens, en mogen dus niet zonder toestemming of een paar hier niet relevante uitzonderingen worden ‘verwerkt’ – een begrip waar Google ook onder valt.

Mogen journalisten dan ook niet over strafzaken schrijven, zou je denken. Ja, die mogen dat wel: de privacywet kent een uitzondering op dat verbod wanneer de verwerking voor uitsluitend journalistieke of literaire doeleinden plaatsvindt (art. 3 Wbp). Eerder dit jaar mocht strafrechtelijke berichtgeving gewoon blijven staan om die reden.

Alleen: Google handelt niet journalistiek, zo bepaalde het Hof van Justitie in dat vergeetrechtarrest. Veel motivatie kon ik er niet voor vinden, anders dan “het is niet hetzelfde” en “de resultaten in een zoekmachine hebben meer impact en verspreiding dan een artikel van een webredacteur”. Maar het is het geldend recht, en dus geldt voor Google een totaalverbod tot tonen van strafrechtelijke feiten over personen.

Onder de Privacyverordening die volgend jaar in werking treedt (komt ie weer met dat boek), wordt dit niet anders. Ook daar zijn strafrechtelijke persoonsgegevens beschermd, zelfs nog strenger dan de medische en andere bijzondere persoonsgegevens. Weliswaar geldt ook daar een uitzondering voor “academische, artistieke of literaire uitdrukkingsvormen”, maar daar zal Google nog steeds geen beroep op kunnen doen.

Ik moet zeggen dat ik hier toch wel een beetje moeite mee heb. Ik snap ergens het argument wel van “je straf uitgediend hebben en weer een schone lei krijgen”, maar als er geen énkele ruimte is voor een belangenafweging met de vrijheid van meningsuiting, dan gaat me dat echt te ver. Het kan toch niet de bedoeling zijn dat strafrechtjournalistiek een categorische ban in Google moet krijgen?

Arnoud