Een lezer vroeg me:
Ik maak in onze organisatie heel traditioneel backups op een Write Once Read Only (WORM) medium. Zo weet ik zeker dat die data niet aangetast kan worden bij cyberaanvallen. Echter, nu zegt onze FG dat dit eigenlijk niet toegestaan is. Van de AVG moet het mogelijk zijn om ook persoonsgegevens uit backups verwijderd te krijgen. Klopt dit? En moet ik dan overstappen naar een ander opslagmedium, met de extra risico’s van dien?
De algemene regel uit de AVG is inderdaad dat áls persoonsgegevens verwijderd moeten worden, dit overal moet gebeuren. Maar je moet dat per verwerking beoordelen. Een account van een webshop-klant opheffen is één ding, diens gegevens uit de financiële administratie weghalen iets anders en de factuur verwijderen natuurlijk nog weer een stap verder.
Bij backups is dus de vraag: moet deze data op deze manier (dus met de persoonsgegevens) bewaard worden, of kan deze al weg? Hiervoor moet je dus kijken naar de reden om de brongegevens te wissen. Gaat het om een kopie van dat klantaccount of een kopie van de factuur? De reden om de brongegevens te moeten wissen, geldt net zo goed voor de backup.
Het is zeker mogelijk dat een backup niet aan te passen is. De AVG eist niet het onmogelijke, dus je hoeft niet naar een meervoudig beschrijfbaar medium over te stappen. Maar je moet wel onthouden dát er een geldig verwijderverzoek ligt voor bepaalde gegevens, zodat je dit bij terugzetten van de backup kunt doorvoeren. Anders is dat klantaccount straks gewoon weer terug of staat dat mailadres weer op de nieuwsbrief geabonneerd.
Dit leidt tot een paradox: je creëert dan meer persoonsgegevens (de “wissen na restore” lijst) in reactie op een verzoek om gegevens weg te gooien. Maar in deze situatie kun je niet anders. De data is pas te wissen na terugzetten van de backup naar een meervoudig beschrijfbaar medium, dus moet je nu onthouden dat je dan die wisactie uitvoert. Dat moet dus zo, en als het moet van de AVG dan mag het van de AVG.
Arnoud
