Zo maak je een back-up die voldoet aan de AVG

Het lijkt soms onmogelijk: een IT back-up maken en gelijktijdig voldoen aan de AVG. De AVG verplicht je immers om zorgvuldig met persoonsgegevens om te gaan en deze te wissen zodra je deze niet meer nodig hebt. Dat laatste klinkt eenvoudig. Gewoon je CRM-systeem openen en records verwijderen. Toch? Wie beter kijkt, ziet dat het vraagstuk iets complexer is. Hoe zit het bijvoorbeeld met de gegevens die nog voorkomen in je ICT back-up systemen? Moet je ook deze back-up data opschonen? We maken het makkelijk en zetten het voor je op een rij.

Recht op vergetelheid

In de AVG is het recht op gegevenswissing, ofwel het recht op vergetelheid, opgenomen. Dit betekent dat je persoonsgegevens moet wissen zodra je als organisatie geen reden meer hebt om deze nog te verwerken. Ook kunnen betrokkenen zich tot jouw organisatie wenden met het verzoek om hun gegevens te wissen. Je bent in een aantal situaties verplicht om daaraan mee te werken. Bijvoorbeeld in het geval van een onrechtmatige verwerking of wanneer iemand de eerdere toestemming voor het gebruik van persoonsgegevens intrekt.

Ook back-up data opschonen

Bij het verwijderen van persoonsgegevens dien je ook rekening te houden met data die als IT back-up zijn opgeslagen. De Gegevensbeschermingsautoriteit (GBA) in België is erg duidelijk op dit punt. Indien blijkt dat een verzoek tot verwijdering gegrond is, dan dient de verwerkingsverantwoordelijke zonder onredelijke vertraging over te gaan tot het wissen van de desbetreffende gegevens. In principe dienen alle mogelijke kopieën van deze gegevens gewist te worden, inclusief eventuele back-ups op fysieke tapes of op enige andere gegevensdrager, zo stelt de GBA.

Redelijke vertraging is toegestaan

De tijdspanne waarbinnen de gegevenswissing moet zijn uitgevoerd, wordt per geval beoordeeld. Wat in het ene geval een ‘redelijke’ vertraging is, is mogelijk een ‘onredelijke’ vertraging in het andere geval, zo geeft de GBA aan. In de praktijk kan dit erop neerkomen dat persoonsgegevens uit de betreffende applicaties, zoals een CRM systeem, worden verwijderd, maar dat deze gegevens pas later worden gewist in de back-up bestanden. Voorwaarde hierbij is wel dat de gegevens behoorlijk worden afgeschermd, zodat deze niet langer op onrechtmatige wijze gebruikt kunnen worden.

Back-up procedure

Wat als een restore wordt uitgevoerd aan de hand van een back-up, die dateert van vóór de uitwissing? Dan moet de uitwissing, indien nodig, opnieuw worden uitgevoerd. Daarom is het raadzaam om dit als actie aan de ICT back-up procedure toe te voegen. Daarvoor is het natuurlijk noodzakelijk dat je bijhoudt welke persoonsgegevens je hebt verwijderd. Dit recht van vergetelheid is mede daarom ook een punt van aandacht voor veel fabrikanten van back-up systemen.

Data-retentietijd

Op verschillende fora van fabrikanten als Barracuda, Veeam en Microsoft wordt gesproken over een roadmap rondom dit onderwerp. Daarnaast worden tips gegeven, die als een work-around kunnen dienen. De insteek daarbij is met name de data-retentietijd. De data-retentietijd betreft de omschrijving van welke data worden opgeslagen en voor hoelang. Deze data-retentietijd is op zijn beurt weer een onderdeel van de data-governance ofwel de set aan afspraken en gekozen standaarden die gezamenlijk vastleggen op welke manier jouw organisatie met data omgaat.