image

Juridische vraag: Ben je als bedrijf ook verplicht de backups op te schonen wanneer iemand zijn recht op vergetelheid uitoefent?

woensdag 31 oktober 2018, 14:07 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij krijgen steeds vaker verwijderverzoeken onder de AVG. De laatste twee verzoeken meldden expliciet dat zij ook uit eventuele reservekopieën verwijderd wilden worden. Naast dat dat enorm tijdrovend is (want handmatig uitpakken en het betreffende record zoeken) acht ik het principieel onjuist om data uit backups te halen. Je maakt die nou net om een complete kopie te hebben om op terug te vallen. Is dit werkelijk verplicht onder de AVG?

Antwoord: Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backupstrategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
31-10-2018, 14:21 door Anoniem
Neen, back-ups vallen daar buiten maar met een maar... als je de backup terug zet moet je de data wel verwijderen (staat letterlijk in de richtlijnen)
31-10-2018, 14:27 door Anoniem
Vergeet niet dat een backup ook gepikt kan worden. Of verkocht. En daarna de gegevens misbruikt kunnen worden. Ook die van mensen die terecht niet meer in die database willen staan.

Het is zinvol om de backup van software en database te scheiden. Beiden zijn dynamische data maar de database het meest.

Loopt alles mis dan heb je eerst je laatst werkende software nodig. Daarmee kun je door. Je database is dynamischer. Er staan niet enkel je laatste deletes in (ook die wegens GDPR) maar ook je laatste nieuwe klanten, bestellingen en andere mutaties.

Zowel om goed door te gaan is het belangrijker om, afhankelijk van de dynamiek van je systeem maar ook met de ernst van als privacygegevens uitlekken, je database desnoods per minuut te backuppen. En veilig te stellen.

Dat alles eigenlijk los van de wet. Maar gewoon uit respect voor zowel je nieuwe klanten als die die niks meer met je te maken willen hebben. Het is ook echt technisch niet moeilijk. Kan zelfs een systeembeheerder uit 1984 geen rugklachten van krijgen.
31-10-2018, 14:28 door Anoniem
Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet.
Dat zou betekenen dat het bewaren van "oude backups" nooit zin heeft. Maar dat klopt niet. Je bewaart oude backups om dingen terug te kunnen halen die redelijk recent verminkt zijn maar niet meteen ontdekt zijn. Kom je er na een maand achter dan kun je een backup van een maand geleden terug zetten.
Uiteraard zul je dat niet doen met een backup van een database en dan die database vervolgens weer als main database gebruiken, maar je kunt wel een oude database terug zetten en daar bijvoorbeeld records uit copieren of analyseren.
Daar kunnen dan ook records bij zitten die moeten worden vergeten.

In een correcte administratie bewaar je copieen van alle wijzigingsverzoeken tot deze definitief zijn vastgelegd in het systeem. Bij online systemen kun je bijvoorbeeld stellen dat je alle verzoeken om vergeten te worden offline bewaart tot het moment dat er enige zekerheid is dat ze volledig zijn verwerkt, en als je backups hebt zou je kunnen stellen dat dit moment is als je alle backups verwijderd hebt die deze info bevatten.
Na het restoren van een backup moet je dan de wijzigingsverzoeken opnieuw verwerken, dus weer die records verwijderen.
31-10-2018, 14:50 door Anoniem
Het is dus wel zaak om "opschoonrecords" (later) toe te kunnen voegen aan (eerder gemaakte backups), zo van "op dit tijdspunt kwam er een verwijderverzoek dus moeten deze en deze records niet meer teruggezet worden." En dan natuurlijk die opschoonrecords ook opschonen bij een nieuwe backup waar de te verwijderen gegevens al uitgehaald zijn.

Op zich niet heel moeilijk, wel zaak het even zorgvuldig te doen. En alles, inclusies opschoonrecords, netjes versleutelen, dat ook.
31-10-2018, 18:56 door beatle
Door Anoniem: Neen, back-ups vallen daar buiten maar met een maar... als je de backup terug zet moet je de data wel verwijderen (staat letterlijk in de richtlijnen)

Helemaal mee eens. Het is vooral zaak alle betrokkeneverzoeken bij te houden en na een restore te bekijken of er nog wijzigingen (opnieuw) doorgevoerd moeten worden. Het bijhouden van de betrokkeneverzoeken is in het kader van de AVG een best practice te noemen, en niet alleen voor de backup/restore.

Het slechtste idee zou zijn om de integriteit van de backup te riskeren t.b.v. een dergelijke verwijdering. Zoals de auteur terecht aan geeft heeft de organisatie hierin een gegronde reden om dit niet te doen.
01-11-2018, 08:39 door Anoniem
Ik ben het er niet volledig mee eens. opslaan van persoonsgegevens op een back-up tape valt onder het verwerken van persoonsgegevens. In dit geval verwerk je persoonsgegevens een aantal keer (bij opslaan op tape en bij terugschrijven bij een fall-back). De AVG maakt hier wat mij betreft geen onderscheid in.

Vanwege de stand van de techniek is het onmogelijk om persoonsgegevens van iedere back-up te verwijderen. Indien iemand jaren in dienst is, op hoeveel back-ups staan persoonsgegevens van de persoon die het verzoek doet tot inzage of vergetelheid?

Wij hebben hierdoor het risico erkent, aanvullende maatregelen genomen (waaronder toegang e.d.) en conform ons informatie-beveiligingsbeleid aangegeven het risico te accepteren.
01-11-2018, 08:54 door Anoniem
Door beatle:
Door Anoniem: Neen, back-ups vallen daar buiten maar met een maar... als je de backup terug zet moet je de data wel verwijderen (staat letterlijk in de richtlijnen)

Helemaal mee eens. Het is vooral zaak alle betrokkeneverzoeken bij te houden en na een restore te bekijken of er nog wijzigingen (opnieuw) doorgevoerd moeten worden. Het bijhouden van de betrokkeneverzoeken is in het kader van de AVG een best practice te noemen, en niet alleen voor de backup/restore.

Het slechtste idee zou zijn om de integriteit van de backup te riskeren t.b.v. een dergelijke verwijdering. Zoals de auteur terecht aan geeft heeft de organisatie hierin een gegronde reden om dit niet te doen.
Hoe vaak wordt een backup van een langere tijd geleden daadwerkelijk terug gezet. Zelden. Maar als het gebeurt, dan is daar een noodzaak voor (gerechtvaardigd belang), bijvoorbeeld om aan een dataverzoek te voldoen bij een mededingingsonderzoek. (been there, done that) - hoewel je dan eerder over archief dan over backup spreekt, maar er zijn genoeg bedrijven nog die disaster backup en 7, 10 of 15jr bewaarplicht van financiële en medische gegevens via dezelfde backup tooling uitvoeren ipv aparte archiverings systemen. (de befaamde maand en jaar backups met bijbehorende retentie dus)

Het er uit weg halen kan niet zonder de integriteit ervan te schonen. Dus zoals opgemerkt: Haal de betreffende info dan direct na restore weg. In basis een technisch goed idee om zo dicht mogelijk bij de wens van de persoon in kwestie te komen om vergeten te worden te komen... toch?

behalve... Als je iemand moet vergeten, hoe weet je dan na het verwijderen dat je de gegevens verwijderd hebt? Want het verwijder verzoek zelf maakt automatisch ook deel uit van de te verwijderen gegevens...
01-11-2018, 09:53 door Anoniem
Door Anoniem:
Door beatle:
Door Anoniem: Neen, back-ups vallen daar buiten maar met een maar... als je de backup terug zet moet je de data wel verwijderen (staat letterlijk in de richtlijnen)

Helemaal mee eens. Het is vooral zaak alle betrokkeneverzoeken bij te houden en na een restore te bekijken of er nog wijzigingen (opnieuw) doorgevoerd moeten worden. Het bijhouden van de betrokkeneverzoeken is in het kader van de AVG een best practice te noemen, en niet alleen voor de backup/restore.

Het slechtste idee zou zijn om de integriteit van de backup te riskeren t.b.v. een dergelijke verwijdering. Zoals de auteur terecht aan geeft heeft de organisatie hierin een gegronde reden om dit niet te doen.
Hoe vaak wordt een backup van een langere tijd geleden daadwerkelijk terug gezet. Zelden. Maar als het gebeurt, dan is daar een noodzaak voor (gerechtvaardigd belang), bijvoorbeeld om aan een dataverzoek te voldoen bij een mededingingsonderzoek. (been there, done that) - hoewel je dan eerder over archief dan over backup spreekt, maar er zijn genoeg bedrijven nog die disaster backup en 7, 10 of 15jr bewaarplicht van financiële en medische gegevens via dezelfde backup tooling uitvoeren ipv aparte archiverings systemen. (de befaamde maand en jaar backups met bijbehorende retentie dus)

Het er uit weg halen kan niet zonder de integriteit ervan te schonen. Dus zoals opgemerkt: Haal de betreffende info dan direct na restore weg. In basis een technisch goed idee om zo dicht mogelijk bij de wens van de persoon in kwestie te komen om vergeten te worden te komen... toch?

behalve... Als je iemand moet vergeten, hoe weet je dan na het verwijderen dat je de gegevens verwijderd hebt? Want het verwijder verzoek zelf maakt automatisch ook deel uit van de te verwijderen gegevens...

Het verwijder bezoek moet je toch echt wel bewaren, je moet dit namelijk kunnen aantonen aan de autoriteit.
Gezien de betrokkene recht op inzage heeft, stel hij deed gisteren een verwijder verzoek en vandaag inzage. Als je de persoon verteld ik heb niets is dat op zich prima gezien het verwijder verzoek er gisteren was, maar als die persoon dan klaagt bij de autoriteit dat hij geen inzage krijgt ga jij vertellen omdat er niets is, die van gisteren weet je nog wel uit je hoofd maar die van 1 jaar geleden is toch een ander verhaal, je zult het dus echt moeten hebben als bewijs waarom je niet kan voldoen aan het recht op inzage....
01-11-2018, 11:41 door Anoniem
Ik heb een hele tijd bij een grote bank gewerkt. De backups daar mogen juist NIET gewijzigd worden en werden op WORMs (Write-Once-Read-Manytimes) opgeslagen, zodat we konden garanderen dat er niet gerotzooid was met dit 'bewijsmateriaal'. De logfiles werden soms gebruikt in rechtszaken en dan moet je kunnen aantonen dat deze logfiles niet zomaar gewijzigd zijn, zodat het ons goed uitkwam. Dus: het wijzigen van logfiles en verwijderen van entries lijkt mij vernietiging van bewijsmateriaal.
01-11-2018, 12:55 door Anoniem
Naast dat dat enorm tijdrovend is (want handmatig uitpakken en het betreffende record zoeken) acht ik het principieel onjuist om data uit backups te halen.

LOL. Je hebt je gewoon aan de wet te houden. Hoe je daar ''principieel'' tegen aan kijkt is irrelevant. En als het tijdrovend is, dan is het tijd om te kijken naar je procedures, om dat te optimalizeren. Wetten zijn niet vrijblijvend.

Dus: het wijzigen van logfiles en verwijderen van entries lijkt mij vernietiging van bewijsmateriaal.

Het laat onverlet dat je je aan de wet dient te houden. Verder gaat het hier om gegevens die niet langer relevant zijn (anders is recht om vergeten te worden niet van toepassing).
01-11-2018, 14:22 door Anoniem
Door Anoniem:
Naast dat dat enorm tijdrovend is (want handmatig uitpakken en het betreffende record zoeken) acht ik het principieel onjuist om data uit backups te halen.

LOL. Je hebt je gewoon aan de wet te houden. Hoe je daar ''principieel'' tegen aan kijkt is irrelevant. En als het tijdrovend is, dan is het tijd om te kijken naar je procedures, om dat te optimalizeren. Wetten zijn niet vrijblijvend.

Kenmerkend voor wetten is dat ze niet 100% consistent zijn. Wat volgens de ene wet verplicht is, is volgens de andere
wet niet toegestaan. Het wordt op dat moment belangrijk om er vanuit een redelijk standpunt naar te kijken om te zien
welke handeling de juiste is. Dat doet een rechter uiteindelijk ook.
01-11-2018, 14:53 door Anoniem
Door Anoniem:
Naast dat dat enorm tijdrovend is (want handmatig uitpakken en het betreffende record zoeken) acht ik het principieel onjuist om data uit backups te halen.

LOL. Je hebt je gewoon aan de wet te houden. Hoe je daar ''principieel'' tegen aan kijkt is irrelevant. En als het tijdrovend is, dan is het tijd om te kijken naar je procedures, om dat te optimalizeren. Wetten zijn niet vrijblijvend.

Dus: het wijzigen van logfiles en verwijderen van entries lijkt mij vernietiging van bewijsmateriaal.

Het laat onverlet dat je je aan de wet dient te houden. Verder gaat het hier om gegevens die niet langer relevant zijn (anders is recht om vergeten te worden niet van toepassing).

Klopt, daardoor hoeft een bank,ziekenhuis deze logs niet te verwijderen.
01-11-2018, 14:56 door Anoniem
Ik heb een hele tijd bij een grote bank gewerkt. De backups daar mogen juist NIET gewijzigd worden en werden op WORMs (Write-Once-Read-Manytimes) opgeslagen, zodat we konden garanderen dat er niet gerotzooid was met dit 'bewijsmateriaal'.

Zolang het relevant bewijsmateriaal is, dan is het recht op vergeten te worden niet van toepassing. Is het niet langer relevant, dan moet je gewoon zorgen dat je je procedures zo bij werkt dat je dat die je wel moet wissen ook kan wissen. Dat tot op heden de IT infra daar niet op ingericht was, is verder een bijzaak.

Je moet immers je omgeving zo aanpassen dat je voldoet aan de wet; de wet kan je helaas niet zo aanpassen dat het voldoet aan je omgeving. Dus wellicht dat de werkwijze die je beschrijft niet langer voldoet.
01-11-2018, 15:08 door Anoniem
Hoe vaak is de strekking van de juridische vraag niet kort samengevat ''moet ik mij aan de wet houden ?''

Waarbij het antwoord vanzelfsprekend is ''ja, je moet je aan de wet houden''..... ;)
01-11-2018, 15:44 door Anoniem
Wet of niet, losse data uit backups verwijderen kan niet, en geen backups maken is geen optie.
Wij hanteren een verwijderingsregister. Is een backup verzoek van voor de laatste entry in het verwijderingsregister, dan moeten die gegevens eerste verwijderd worden voordat de backup wordt vrijgegeven. Werkt voor ons.
06-11-2018, 11:04 door anoniem44
Ik heb hier over het volgende nog een vraag. Mijn ex werkgever heeft mijn `oude arbeidscontract` aan een stichting gegeven.
Die stichting is in principe een concurrent van mijn nieuw bv die ik gestart ben. Moet ik hier nu aangifte van gaan dan en wat is de straft die beide partijen hiervoor kunnen krijgen? en wat betekent dat voor mij?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.