Bewaartermijn persoonlijke data
In een recent verschenen artikel kwam aan het licht dat onderwijsinstellingen, en ook sommige organisaties, veel te lang persoonlijke data opslaan van bijvoorbeeld docenten, studenten of klanten. Ironisch genoeg ligt de oorsprong van deze vondst bij recentelijke datalekken bij respectievelijk het ROC Mondriaan en de Hogeschool van Arnhem en Nijmegen. Maar hoe moet je nou eigenlijk omgaan met persoonlijke data? Op welke termijn moet deze data worden verwijderd? Wij vroegen het onze Tony Lemmers.(Privacy Officer a.i. bij het RIVM)
De “data weegschaal” kent twee kanten, waardevol en gevaarlijk
Eerst even kijken naar de Europese wetgeving. Wat zegt deze de bewaartermijn van persoonlijke data? Het antwoord is heel simpel. Volgens de Europese privacywet moeten gegevens worden verwijderd als ze niet langer nodig zijn. Echter is ‘nodig’ natuurlijk een rekbaar begrip. Zoals ik vroeger tegen mijn eigen moeder zei als ik mijn kamer moest opruimen ‘Ja maar misschien heb ik dat nog wel nodig’. Diezelfde mindset lijkt ook aanwezig bij veel organisaties. In veel gevallen is data heel waardevol om op terug te kunnen vallen, maar het maakt je ook kwetsbaarder.
De AVG en aanpalende wetgeving geeft ieder bedrijf / organisatie een redelijke vrijheid om te bepalen hoe lang persoonlijke data (PD) bewaard wordt. Echter hierbij dient gekeken te worden naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Dit kan dus verschillen van een paar jaar tot langer. In het geval van de datalekken bij de hierboven benoemde onderwijsinstellingen bleek dat hier niet aan werd voldaan. Data van zowel studenten als docenten werd al die tijd gewoon bewaard zonder dat duidelijk was voor welke doel.
“In de dataset van het ROC trof NU.nl onder andere sollicitatielijsten, overlijdenskaarten van studenten, klachtenafhandelingen en andere gevoelige gegevens aan. Bij de HAN werden zelfs formulieren met de politieke voorkeur van een honderdtal studenten bewaard. Ook lekten lijsten uit waarop de functiebeperking van tweeduizend studenten werd vastgelegd”
Overeenkomstig met de AVG dien je als ‘dataverwerker’ rekening te houden met de zogenaamde data life cycle. Een duur woord voor bewaartermijnen. Het bewaren van data wordt in de basis bepaald door zowel interne als externe factoren. Zo zijn er enerzijds de externe factoren als wetgeving en anderzijds intern beleid en procedures op basis waarvan de data bewaard wordt.
‘Hoe kunnen we hier het meest zorgvuldig mee omgaan’. Deze aanpak staat ook wel bekend als privacy-by-design. Het bepalen van de bewaartermijn vindt plaats aan het begin van de life cycle maar wordt pas uitgevoerd op het eind. Als het goed is tenminste.
Ken je opties en regel het in
Vaak wordt vergeten dat je overeenkomstig met de AVG twee opties krijgt. Namelijk verwijderen of anonimiseren. Echter dient het anonimiseren wel te gebeuren volgens de maatstaf van vandaag de dag. Iets dat gister anoniem was hoeft dat vandaag niet meer te zijn. Het is dus van groot belang dat hier periodiek goed naar wordt gekeken en, indien nodig, wordt aangepast. Dit is de taak van de data-eigenaar. In het voorbeeld dus de HAN en het ROC.
In de cases van de beide onderwijsinstellingen hebben we kunnen zien dat zij hun data life cycle proces niet op orde hadden waarbij de bewaartermijn van persoonlijke data onduidelijk was, en wat de gevolgen zijn geweest. Naast het niet op orde hebben van het life cycle proces hebben ze als het de AVG betreft onvoldoende organisatorische en technische maatregelen getroffen om de persoonsdata adequaat te beveiligen. Zonde, want met beperkte inspanningen hadden verstrekkende gevolgen zoals het verliezen van concurrentievoordeel, boetes en imagoschade in ieder geval beperkt of wellicht voorkomen kunnen worden.
Criminelen krijgen op deze manier ook meer munitie dat gebruikt kan worden tijdens een digitale aanval. “U wilt niet betalen? Dan lekken wij alle persoonlijke data van iedereen die hier sinds 2010 studeerde”. En dat is wat er gebeurde en hoe deze kwestie aan het licht is gekomen.
Elk bedrijfsproces moest ooit worden aangeleerd
Om bovenstaande problematiek en consequenties te voorkomen is een duidelijk plan met betrekking tot het verwerken van persoonlijke data volgens Tony Lemmers essentieel. Dit dient een vast onderdeel te worden van de bedrijfsprocessen. Dus regel een goed data lifecycle management proces in. Hiermee beperk je risico’s doordat inzichtelijk is waar gevoelige data zich bevindt, wie hier toegang tot heeft, wie de eigenaar, wat de grondslag en wat de bewaartermijn is. In een ideale situatie krijgt de proces-eigenaar ruim voor het verstrijken van de bewaartermijn een bericht dat deze termijn bijna is verlopen. Vervolgens wordt de vraag gesteld wat er met de data moet gebeuren. Verwijderen of anonimiseren? Op deze manier kan de juiste keuze tijdig worden uitgevoerd en, indien nodig, kan dan ook bewezen worden dat dit op tijd is gedaan.
Er zijn overigens ook grote voordelen te benoemen wanneer je persoonlijke data wel op tijd verwijderd of adequaat anonimiseert:
- Je hebt minder persoonlijke data dat ruimte op je netwerk en back-up inneemt;
- Omdat je over minder “gevoelige” data beschikt en weet waar het zich bevindt ben je beter instaat om adequate technische en organisatorische maatregelen te nemen ter voorkoming van misbruik;
- Beperkte tot geen AVG incidenten vergroot het vertrouwen van de personen wiens data je beheerd;
Denk vooraf goed na en regel het correct in vanaf het begin! Achteraf zaken corrigeren (zoals bewaartermijn) is lastiger en veel kostbaarder
Een ideaal scenario is voor veel organisaties een utopie. Maar moet dat zo zijn? Volgens de experts van Beschermheren niet. Dankzij onze expertise op het gebied van Privacy zijn wij goed in staat om u gericht te helpen. Aan de hand van een transparante aanpak kunnen we samen met u ervoor zorgen dat het niet uw bedrijf is dat de volgende krantenkop over een succesvolle aanval siert.
Meer weten? Neem dan vrijblijvend eens contact met ons op of bezoek onze website.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein