Van de AVG moet je persoonsgegevens uit back-ups kunnen verwijderen. Hoe regel je dit bij WORM-media?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik maak in onze organisatie heel traditioneel back-ups op een Write Once Read Only (WORM) medium. Zo weet ik zeker dat die data niet aangetast kan worden bij cyberaanvallen. Echter, nu zegt onze Functionaris Gegevensbescherming (FG) dat dit eigenlijk niet toegestaan is. Van de AVG moet het mogelijk zijn om ook persoonsgegevens uit back- ups verwijderd te krijgen. Klopt dit? En moet ik dan overstappen naar een ander opslagmedium, met de extra risico's van dien?
Antwoord: De algemene regel uit de AVG is inderdaad dat áls persoonsgegevens verwijderd moeten worden, dit overal moet gebeuren. Maar je moet dat per verwerking beoordelen. Een account van een webshop- klant opheffen is één ding, diens gegevens uit de financiële administratie weghalen iets anders en de factuur verwijderen natuurlijk nog weer een stap verder.
Bij back-ups is dus de vraag: moet deze data op deze manier (dus met de persoonsgegevens) bewaard worden, of kan deze al weg? Hiervoor moet je dus kijken naar de reden om de brongegevens te wissen. Gaat het om een kopie van dat klantaccount of een kopie van de factuur? De reden om de brongegevens te moeten wissen, geldt net zo goed voor de back-up.
Het is zeker mogelijk dat een back-up niet aan te passen is. De AVG eist niet het onmogelijke, dus je hoeft niet naar een meervoudig beschrijfbaar medium over te stappen. Maar je moet wel onthouden dát er een geldig verwijderverzoek ligt voor bepaalde gegevens, zodat je dit bij terugzetten van de backup kunt doorvoeren. Anders is dat klantaccount straks gewoon weer terug of staat dat mailadres weer op de nieuwsbrief geabonneerd.
Dit leidt tot een paradox: je creëert dan meer persoonsgegevens (de "wissen na restore" lijst) in reactie op een verzoek om gegevens weg te gooien. Maar in deze situatie kun je niet anders. De data is pas te wissen na terugzetten van de back-up naar een meervoudig beschrijfbaar medium, dus moet je nu onthouden dat je dan die wisactie uitvoert. Dat moet dus zo, en als het moet van de AVG dan mag het van de AVG.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dat de AVG niet het onmogelijke eist is in deze met alle ophef dat de AVG wel degelijk het onmogelijke eist.
Kwalijker de uitleg van de GDPR is zo verdraaid dat met de ophef dat een backup aangepast zou moeten worden de bedoeling van de GDPR met continuiteit en beschikbaarheid onderuit gehaald wordt.
Het niet meer beschikbaar zijn van gegevens waar dat wel had gemoeten is namelijk ook een datalek en inbreuk van privacy
Gaat een rechter dan nog steeds oordelen dat je gegevens juist verwijderd zijn?
Even een aantal feiten op een riijtje:
Een backup op een WORM medium is niet heel erg duur
Een backup zou regelmatig moeten worden gemaakt om relevant te blijven
De AGV kent verwijdertermijnen waardoor batch verwerking tot de mogelijkheden behoort.
Ik denk dat het niet onredelijk is om dan te verlangen dat de gegevens gewoon totaal verwijderd worden, zonder een lijst bij te houden. Door de backups zo te structureren dat je per categorie alles in batches verwerkt kan je voldoen aan de AVG zonder af te stappen van WORM media.
Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om persoonsgegevens te verwijderen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.
Uw FG is helaas niet goed op de hoogte. Hij/Zij dient een register bij te houden van PersoonsGegevens die op verzoek uit lopende systemen zijn verwijderd, en die bij het terugzetten van de backup opnieuw verwijderd moeten worden.
Uw FG is helaas niet goed op de hoogte. Hij/Zij dient een register bij te houden van PersoonsGegevens die op verzoek uit lopende systemen zijn verwijderd, en die bij het terugzetten van de backup opnieuw verwijderd moeten worden.
En goede backup software heeft ook deze functionaliteit. Het verwijderd dan niet de data fysiek van de tape; maar het restoren er van is dan niet meer mogelijk; waardoor de data effectief verwijderd blijft. En dit kan steeds gedetailleerder; niet alleen op bestandniveau maar ook op tabel/veld niveau in een database.
1. Is vergetelheid een absoluut recht? Antwoord: nee. Als er een wettelijke plicht is om een persoonsgegeven te bewaren, dan mag vergetelheid helemaal niet op dat gegeven worden toegepast. Een voorbeeld is een factuur. Een ondernemer moet een factuur een groot aantal jaren bewaren.
2. Hoe vaak wordt een backup teruggezet? Antwoord: als het goed is dan nooit. Alleen na een groot incident of een calamiteit wordt een backup terug gezet. Vaak slechts een gedeelte uit de backup.
3. Hoe lang blijft een backup (ook de WORM variant) bestaan? Antwoord: Dat verschilt per organisatie. Vaak 1 keer per week een full backup en dagelijks een differential. Na 7 dagen begint de cyclus opnieuw. Zo’n cyclus kan er ook met WORM middelen bestaan. Wat doe je dan met backups die ouder zijn dan enkele weken (of een maand of een jaar). Ik denk zomaar dat je dan de backup vernietig. Ook als dat een WORM is.
Met deze gegevens ga je een risico analyse uitvoeren.
Dan kom je vanzelf tot de conclusie dat WORM als backup middel best acceptabel is.
De AVG stelt een verplichting tot wissen. En daarop zijn maar enkele en duidelijk omschreven uitzonderingen.
De wet geeft bij de verplichting geen uitzondering om het verwijderen om andere redenen dan de genoemde uitzonderingen te mogen uitstellen. Het doel om te verwijderen maakt daarmee duidelijk dat het verwijderen in principe boven andere omstandigheden staat. Een gebrek aan tijd, gebrek aan mensen, gebrek aan wil, gebrek aan kundigheid, gebrek aan geld of een gebrek aan een geschikt middel staat dus niet gelijk of zelfs hoger dan de wettelijke eis.
Er zijn ook nog andere verplichtingen. Je voldoet pas aan de wet door passende organisatorische EN technische maatregelen genomen te hebben om aan ALLE eisen van de wet te voldoen. Een read-only backup gaan en blijven gebruiken zonder dat dit om wettelijke verplichtingen moet en aan de uitzonderingen voldoet is geen een passende maatregel. De wet stelt uitdrukkelijk niet dat organisatorische maatregelen genoeg zijn. Dat is om een erkende redenen. Bijna alle verantwoordelijken omschrijven ze zo vaag dat het niet duidelijk aan de wettelijke verplichtingen voldoet. En in de praktijk passen de verantwoordelijken de organisatorische maatregelen niet constant en duidelijk toe.
Er is ook nog een andere verplichting: recht tot verwijderen aantoonbaar naleven naar de persoon die zich er op beroept. Als je de tijd wil nemen om te verwijderen dan hoort de persoon niet alleen een duidelijke reden te krijgen waarom het tijd kost, maar ook verduidelijking hoe lang men uiterlijk de tijd neemt een op welke uitzondering tot verwijderen dat gebaseerd is. En wanneer daar wel aan is voldaan moet dat ook vermeld worden. Het doel van de wet is niet dat een persoon maar meerdere verzoeken tot verwijderen doet om duidelijkheid te krijgen.
Er zijn tegenwoordig meerdere technische middelen waarmee voledig aan de wettelijke eisen kan worden voldaan zonder het verwijderen uit te stellen. Wie zonder wettelijke noodzaak read-only middelen blijft gebruiken voor persoonsgegevens neemt de eisen en uitzonderingen niet serieus. En dus de personen niet van wie ze de gegevens niet zo snel mogelijk verwijderen.
Er is geen absoluut recht op vergetelheid maar de uitzonderingen om er niet volledig aan te kunnen voldoen zijn nog beperkter. De eis is zo snel mogelijk aan voldoen. Niet een eis of wens toepassen om een middel als een worm als opslag te gebruiken.
Hoe vaak je een backup moet terugzetten is irrelevant. Opslag is verwerking en die hoort zonder de vereiste uitzonderingen niet plaats te vinden.
De tijd die het kost om gegevens te verwijderen hoort niet af te hangen van hoe lang iemand een backup wil bewaren. Hoe lang de backup blijft bestaan hoort af te hangen van de eis de te verwijderen gegevens te verwijderen. Een rechtmatig verzoek tot verwijderen staat boven gemak. En om aan eventuele andere wettelijke eisen te voldoen hoort niet meer dan nodig op een backup opgeslagen te worden dat het langste bewaard moet worden.
De conclussie kan niet snel zijn dat een worm als backup nog wettelijk verantwoord is.
Het is heel gemakkelijk om te leren met privedata. Wat zou je doen als het om je eigen moeder ging of je eigen zuster.
De techniek is de techniek maar om er mee om te gaan moet je je blinde vlek goed getraind hebben.
1/ Een goede backup voor herstel DR is offline en niet benaderbaar.
2/ De GDPR met vergetelheid is geen absoluut recht tot het laten aanpassen naar wat je maar wenst
Indien de software, zodra de bewaarperiode verstreken is, de betreffende sleutel (die natuurlijk niet op WORM-media moet staan) ontoegankelijk maakt, is een groot deel van het probleem opgelost. Wel moet er dan nog een oplossing worden bedacht voor het backuppen van de gebruikte "tijdelijke" encryptiesleutels.
Ik kan mij zelfs voorstellen dat zoiets "onzichtbare" standaardfunctionaliteit wordt van een bestandssysteem, bijvoorbeeld voor het geautomatiseerd tijdelijk toegankelijk houden van digitale sollicitatiebrieven.
Vooral bij het gebruik van flashgeheugen bestaat er niet zoiets als "secure erase" van een bestand. De sleutel van een (degelijk versleuteld) bestand weggooien is veel betrouwbaarder (en sneller). Voorkómen moet natuurlijk worden dat die sleutel na het wissen daarvan kan worden teruggehaald.
Want ook al is die data bevroren, alsmede niet van buitenaf toegankelijk en komt alleen voorbij bij een DR event, dan is die data nog steeds in handen van een bedrijf die deze data had moeten verwijderen.
Zie het als administratie op papier. Een archief misschien.
Maar data is data, en AVG dekt niet alleen een actief datacenter, maar ook wat er in archieven ligt opgeslagen.
Een "wissen na restore" lijst bevat dan weer gegevens over persoonsgegevens die al verwijderd hadden moeten zijn.
Waarom maak je het jezelf dan moeilijk?
Je kan beter regelmatig een nieuwe DR backup maken. 1 keer per jaar bijvoorbeeld.
En zodra die backup is goedgekeurd, de oude vernietigen.
En zodra die backup is goedgekeurd, de oude vernietigen.
2/ Een DR backup 1x per jaar is wel heel ongeloofwaardig. Er moet gewoonlijk tot elk moment alles hersteld kunnen worden.
Denk eens aan betalingsverkeer.
Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om persoonsgegevens te verwijderen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.
Uw FG is helaas niet goed op de hoogte. Hij/Zij dient een register bij te houden van PersoonsGegevens die op verzoek uit lopende systemen zijn verwijderd, en die bij het terugzetten van de backup opnieuw verwijderd moeten worden.
Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om persoonsgegevens te verwijderen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.
Uw FG is helaas niet goed op de hoogte. Hij/Zij dient een register bij te houden van PersoonsGegevens die op verzoek uit lopende systemen zijn verwijderd, en die bij het terugzetten van de backup opnieuw verwijderd moeten worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Hoofd Veiligheid
Dienst Justitiële Inrichtingen
Als Hoofd Veiligheid binnen de PI Leeuw-arden ligt de verantwoordelijkheid voor het waarborgen en verbeteren van het organi-satieonderdeel Veiligheid in jouw handen. Een unieke uitdaging met een grote impact. Die kans laat jij je niet ontnemen!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.