Juridische vraag: wanneer kan ik persoonsgegevens wissen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bijvoorbeeld financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk back-ups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?
Antwoord: De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer "noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt". Oftewel als je ze niet meer nodig hebt.
Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel "leveren bestelling" zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.
Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.
De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart. Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.
In de praktijk moet je dus eigenlijk per document bepalen "waarom staan hier nog persoonsgegevens in" en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bijvoorbeeld de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.
Bij een back-up is dit een lastige. Het is inderdaad een hele berg werk om in een back-up van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens "wissen hoeft niet als dat veel werk is". En vanuit privacyoogpunt is "dan moet je je back-upstrategie maar anders inrichten" een goed verdedigbaar standpunt. Maar een lastige blijft het.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Die termijn van zeven jaar heb ik altijd curieus gevonden. Een testament aan hoe langzaam de prutsers daar wel niet zijn. Want kijk maar, het staat zelfs in de wet.
Of dienen de gegevens automatisch geanonimiseerd / verwijderd te worden indien de klant binnen 7 jaar niet is teruggekomen?
Maar er is zowizo al een enorme discrepantie tussen wat er wettelijk vereist is en wat er door IT'ers gebouwd wordt. Vaak
moet je tijdens de implementatie nog allerlei hacks doen om het gammele systeem een beetje compliant te maken.
Bijvoorbeeld voor de belastingdienst moet je een factuur kunnen produceren die gelijk is aan het origineel. In feite is het
zo dat als je het origineel op papier verzonden hebt, je ook een kopie op papier moet hebben. Je kunt denken "ik klets
me er wel onderuit want het systeem kan een kopie factuur uitdraaien indien gevraagd" maar de implementatie daarvan
deugt vaak voor geen meter. Heel wat systemen slaan een gemaakte factuur niet in zijn geheel op, maar gaan als je
kopie factuur vraagt deze gewoon opnieuw samenstellen uit de gegevens in de database. Artikelnummer en aantal
zijn opgeslagen, omschrijving wordt erbij gezocht. Klantnummer is opgeslagen, naam en adres worden erbij gezocht. Etc.
M.a.w. als er tussen factuurproductie en kopiefactuur veranderingen zijn aangebracht in deze gegevens dan lijkt de kopie
niet op het origineel.
Je bent dan haast wel verplicht om al je facturen te printen naar PDF, deze PDF te printen en te versturen en dan
de PDF te archiveren voor geval van navraag kopie. Dat zou een automatiseerder zich zelf moeten bedenken, maar
veel doen dat niet. Ach dat geeft weer ruimte voor een extra product voor documentarchivering natuurlijk...
En zo is het ook met persoonsgegevens. Je mag de gegevens niet langer bewaren dan nodig, maar aan voorzieningen
om dit te regelen is helemaal niks gedaan. Je kunt records vaak niet zomaar deleten wegens constraints in de database
(referentiele integriteit) dus dan moet je zeker zelf maar alle namen overschrijven met XXX?
Zelfs in een systeem wat we draaien wat helemaal gericht is op de verwerking van persoonsgegevens was een module
om dossiers een aantal jaren inactiviteit te verwijderen nog een optie die we als maatwerk moesten laten bouwen.
Dus over een webwinkel zullen we het maar helemaal niet hebben dan...
Voor documenten waarin persoonsgegevens staan, geldt een verjaringstermijn. Dat betekent dat u ze na een bepaalde periode moet vernietigen. Dit is vastgelegd in de de Wet bescherming persoonsgegevens.
Persoonsgegevens
Termijn
Persoonsgegevens in het algemeen
uiterlijk na twee jaar
Sollicitanten
wanneer de sollicitant daarom vraagt, maar uiterlijk 4 weken na beëindiging van de sollicitatieprocedure
Uitzendkrachten
uiterlijk 2 jaar na beëindiging van het dienstverband
Personeelsadministratie
uiterlijk 2 jaar na beëindiging van het dienstverband
Salarisadministratie
uiterlijk 2 jaar na beëindiging van het dienstverband
Debiteuren en crediteuren
uiterlijk 2 jaar nadat de laatste rekening is voldaan
Klanten en leveranciers
uiterlijk 2 jaar nadat de laatste transactie is afgehandeld
Klanten van advocaten en accountants
uiterlijk 2 jaar nadat de behandeling van een zaak is stop gezet
Bron: Nederlands Normalisatie Instituut (NEN) en ECP.NL (2007)
En vrijwel al die regeltjes conflicteren met de BEWAARtermijn die de fiscus je oplegt!
Wel eens naar de bestelhistorie van bol.com gekeken? die gooien helemaal niets weg.
Zag onlangs dat er zelfs bestellingen van 2001 nog in mijn overzicht stonden, incl. alle info van aflevering, kosten, enz.
Zelf nu als ex-klant gevraagd mij uit te schrijven en account weg te gooien, met nadrukkelijk het verzoek alle gegevens te verwijderen en dat ik geen toestemming meer geef voor gebruik van mijn gegevens. Echter krijg helemaal geen respons.
is het niet zo dat de Belastingdienst van een bedrijf zelfs eist dat zeven jaar de administratie in zijn geheel wordt bewaard? Dus niet alleen de financiele informatie?
Al eerder werd gesteld dat het verwijderen van een individueel bestand (of klant/prospect in een database) uit een back-up eigenlijk niet mogelijk is. Je moet dat doen voor elke klant/prospect als de retentietermijn verlopen is, dus je zou dagelijks al je back-ups moeten scannen en details ervan moeten verwijderen. Volgens mij kan dat technisch zelfs niet, of zou het ridicuul veel tijd en geld kosten.
Ik ken ook nog geen enkele applicatie (en wij gebruiken er best veel) waar standaard functionaliteit in zit om bijvoorbeeld alle gegevens van klanten x jaar na verlopen van het contract (of voor prospects x maanden na verlopen van de offerte) automatisch uit de database te verwijderen. Sterker nog, in veel relationele databases is dat niet eens mogelijk, omdat aan deze klant weer allerlei transacties zijn gekoppeld, etc. Je zou dan alleen kunnen anonymiseren, maar ook die functionaliteit heb ik nog niet in applicaties gezien.
De Europese regelgeving die ook in de maak is ('right to be forgotten', etc.) gaat nog veel verder.
Als applicaties zouden moeten voldoen aan al deze regelgeving, dan zou dat bedrijven in NL vele miljarden gaan kosten om alle applicaties te laten aanpassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.