AVG: wat met persoonsgegevens in jouw back-ups?

5 minuten, 42 seconden leestijd vrijdag 9 augustus 2019 Compliance

Wanneer het over online veiligheid gaat, hebben we nood aan verschillende beveiligingsmechanismen. Een preventieve beveiliging is daarbij de essentie. Maar soms kunnen kwalijk gezinde ook dan de boel in het honderd sturen. En vergeet niet dat ook kleine vossen de wijngaard bederven. Daarom heb je ook beveiligingsmiddelen zoals back-ups nodig. Zij helpen immers de schade te beperken. Echter kunnen dergelijke back-ups ook persoonsgegevens bevatten. En dan wordt het al snel heel ingewikkeld, want ook de AVG loert dan om de hoek. Je moet immers, al dan niet ten gevolge van een verwijderingsverzoek, persoonsgegevens verwijderen. Maar moet je ook in een back-up persoonsgegevens verwijderen? En wat moet je nog allemaal weten? Dat leggen wij in dit blog voor jou uit. 

Het recht op vergetelheid en het verwijderingsverzoek 

In artikel 17 van de AVG heeft men het zogenoemde recht op vergetelheid opgenomen. Dit recht impliceert dat elke persoon het recht heeft dat een organisatie, die geen goede reden heeft om diens persoonsgegevens verder te verwerken, de betrokkene vergeet. Het recht op vergetelheid uit zich in verschillende situaties. Het recht op vergetelheid geldt bijvoorbeeld bij het intrekken van de toestemming om de persoonsgegevens te verwerken maar ook wanneer de persoonsgegevens niet meer noodzakelijk zijn, wanneer de wettelijke bewaartermijn is verlopen of wanneer het gaat om kinderen jongen dan 16 jaar wiens persoonsgegevens via een app of een website werden vergaard.  

In de praktijk zal men meestal een verwijderingsverzoek indienen. Dan moet jij de persoonsgegevens verwijderen. Tenzij er natuurlijk sprake is van een uitzonderingsgrond. Er bestaan verschillende uitzonderingsgronden. Het algemeen belang (redenen van volksgezondheid, archieven van algemeen belang of taken van openbaar gezag), het garanderen van het recht op vrijheid van meningsuiting of een wettelijk opgelegde verplichting kunnen er bijvoorbeeld voor zorgen dat je de persoonsgegevens niet moet verwijderen. Echter ontslaan dergelijke uitzonderingsgronden jou nog niet van jouw informatieplicht. Je moet immers nog steeds gevolg geven aan het verwijderingsverzoek. 

Gevolgen van het verwijderingsverzoek: persoonsgegevens verwijderen? 

Na het verwijderingsverzoek moet je nog niet meteen de persoonsgegevens verwijderen. In principe heb je een termijn van 1 maand om op het verwijderingsverzoek te reageren. In sommige gevallen kan je, binnen diezelfde termijn, wel een verlenging van 2 maanden communiceren.  

In jouw reactie moet je laten weten of je de gegevens al dan niet zal wissen. Indien dit niet het geval is, dien je uit te leggen waarom je dat niet zal doen. Je zal dus concreet naar de uitzonderingsgrond moeten verwijzen. Hiernaast moet je, zo er geen sprake is van zo’n uitzonderingsgrond, de persoonsgegevens verwijderen. Bovendien moet je zo snel mogelijk de persoonsgegevens verwijderen en dit volledig kosteloos. 

Echter moet je meer doen dan alleen even de persoonsgegevens verwijderen. Ook moet je andere organisaties aan wie je de persoonsgegevens hebt doorgegeven, informeren. Zij moeten dan de kopie van de persoonsgegevens verwijderen of eventuele koppelingen ontkoppelen. 

De bijzondere rol van de back-up: ook hier persoonsgegevens verwijderen? 

Bijzonder ingewikkeld wordt het indien een back-up persoonsgegevens bevat. Dat is niet eens onlogisch want zo’n back-up moet jou immers in staat stellen om, na een IT-probleem, snel opnieuw aan de slag te kunnen gaan. En dus zal bijna elke organisatie persoonsgegevens back-uppen. Rest natuurlijk de vraag wat je na een verwijderingsverzoek moet doen met de persoonsgegevens die zich in een back-up bevinden. Moet je ook in een back-up persoonsgegevens verwijderen? Om op deze vraag te antwoorden, moeten we eerst even terugkeren naar het doel dat zo’n back-up dient. 

Het doel van een back-up 

Zowel archieven als back-ups dragen bij aan de online veiligheid. Een back-up zorgt ervoor dat je verloren gegane gegevens opnieuw kan herstellen. Het is een ideale verzekering tegen dataverlies. Wel is het belangrijk dat je zo’n back-up tijdig uitvoert en dat je zowel over een interne als een externe back-up beschikt. Enkel zo ben je helemaal veilig. Maar zoals eerder gezegd kan een back-up ook persoonsgegevens bevatten. En dan maakt de nieuwe privacywet GDPR het extra ingewikkeld.  

Moet je ook in een back-up persoonsgegevens verwijderen? 

Verschillende juristen hebben zich reeds over deze vraag gebogen en de algemene consensus is dat de AVG geen probleem heeft met persoonsgegevens in een back-up. In principe zal je de daar aanwezige persoonsgegevens niet raadplegen of verwerken, terwijl het vooral wordt gebruikt om de bedrijfscontinuïteit te garanderen. En daarom moet je niet zomaar in een back-up persoonsgegevens verwijderen. 

Persoonsgegevens verwijderen na herstellen back-up 

Doet er zich ooit een IT-storing voor en zal je de back-up inzetten? Dan worden ook persoonsgegevens die je ten gevolge van een verwijderingsverzoek eerder verwijderde, teruggezet. En dat mag niet. Je zal na het herstellen van de back-up de reeds eerder verwijderde persoonsgegevens opnieuw moeten verwijderen. En dat vergt natuurlijk een plan van aanpak. 

Centraal bestand met verwijderingsverzoeken 

Behandelde verwijderingsverzoeken zullen met andere woorden nog niet meteen naar de prullenmand mogen worden verwezen. Daarom neem je ze best op in een centraal bestand met verwijderingsverzoeken. Toch is het ook dan opletten geblazen. Het kan immers niet de bedoeling zijn dat iemand intussen opnieuw toestemming heeft gegeven om zijn persoonsgegevens te verwerken, maar dat je deze persoonsgegevens ten gevolge van de acties na de back-up alsnog zou verwijderen. Het moet daarom in alle richtingen duidelijk zijn welke persoonsgegevens je al dan niet mag gebruiken. Ook is het opstellen van een strikte procedure bij back-ups niet onbelangrijk. 

Tijdig back-uppen maakt persoonsgegevens verwijderen eenvoudiger 

Hoe recenter jouw back-up is, hoe eenvoudiger de herstelacties zullen zijn. Je moet dan minder persoonsgegevens verwijderen. Ook de kans op fouten is veel kleiner. Hoe vaak je een back-up moet maken, is afhankelijk van de kenmerken van jouw digitale onderneming. Onze specialisten kunnen jou daarover informeren. 

Persoonsgegevens verwijderen of niet? DesktopToWork helpt je verder 

Bij DesktopToWork doen we meer dan alleen het promoten van de Online Desktop. Ook de veiligheid van onze klanten staat bij ons centraal. En dus hebben we onwillekeurig aandacht voor de verschillende componenten van een goed veiligheidsbeleid. Back-ups spelen wat ons betreft een belangrijke rol. En daarover informeren wij jou graag. Maar evenzeer verzorgen we voortdurend de naleving van de steeds strikter wordende privacyregels. En hierdoor zijn wij jouw ideale kennispartner. Zorg dat je steeds compliant bent en neem contact met ons op voor meer informatie. 

 

 

Werk beter. Leef beter. Hoe maken wij onze beloftes waar?

Door te hard te werken.

Online Desktop

Online Desktop

Wij maken in de cloud werken mogelijk. Zo werk je overal en ben je steeds bereikbaar. Uiteraard sleutelen we ook aan de vereenvoudiging van de processen. Waardoor je nog productiever bent!

Lees meer!
Office 365

Office 365

Via DesktopToWork kan je nu ook werken in de cloud met Office. En dit zonder dat je zelf hoeft te investeren in licenties en hardware. Niet alleen verlaag je de downtime, bovendien maak je gebruik van extra mogelijkheden. Denk maar onze uitgebreide support.

Lees meer!
VoIP en Mobiel

VoIP en Mobiel

De Online Werkplek vergt flexibiliteit. Door te kiezen voor VoIP introduceer je de vrijheid waar iedereen naar hunkert. Zo is eenieder overal bereikbaar, net zoals ook de klant het vraagt. En daar pluk je als bedrijf de voordelen van.

Lees meer!
Connectiviteit

Connectiviteit

Bij DesktopToWork verbinden we de voordelen van de cloud met die van een flexibele werkplek. Voor ons is verbinden nu eenmaal belangrijk. En daarom kennen we er alles van. Wij selecteren voor jou de beste internetlijn en leveren optimale netwerk- en wifi-oplossingen. Waardoor je voortdurend razendsnel werkt.

Lees meer!