Het recht om vergeten te worden versus de backup
Welk type onderneming je ook hebt, het is vrij aannemelijk dat je persoonsgegevens verwerkt
Welk type onderneming je ook hebt, het is vrij aannemelijk dat je persoonsgegevens verwerkt. Denk alleen al aan je administratie, met daarin het klantenbestand en/of de personeelsdossiers. Mogelijk maak je – om verlies van gegevens te voorkomen – met enige regelmaat een backup van je administratie. Die backup bevat dan uiteraard ook persoonsgegevens. Maar wat nu als een betrokkene gebruik wil maken van zijn recht om vergeten te worden?
Het recht om vergeten te worden: hoe zit het met de backup met persoonsgegevens?
Welk type onderneming je ook hebt, het is vrij aannemelijk dat je persoonsgegevens verwerkt. Denk alleen al aan je administratie, met daarin het klantenbestand en/of de personeelsdossiers. Mogelijk maak je – om verlies van gegevens te voorkomen – met enige regelmaat een backup van je administratie. Die backup bevat dan uiteraard ook persoonsgegevens. Maar wat nu als een betrokkene gebruik wil maken van zijn recht om vergeten te worden?
Het recht om vergeten te worden
Op grond van artikel 17 van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) heeft een betrokkene ‘het recht om vergeten te worden’. Dat betekent dat de betrokkene een organisatie (de ‘verwerkingsverantwoordelijke’) mag vragen zijn persoonsgegevens te wissen. Maar hoe werkt dat nu in de praktijk, dat recht om vergeten te worden?
In de meeste gevallen zal een betrokkene per brief of e-mail een verwijderingsverzoek bij jouw organisatie indienen. Vervolgens moet je binnen een maand na de ontvangst van dat verzoek de betrokkene informeren over wat je met het verzoek hebt gedaan. Daarbij heb je twee opties: je moet de persoonsgegevens verwijderen of je weigert het verzoek, bijvoorbeeld omdat de verwerking van de persoonsgegevens nog steeds nodig is voor het uitvoeren van een overeenkomst.
Als je de persoonsgegevens moet verwijderen, doet zich mogelijk het volgende probleem voor. Je hebt de persoonsgegevens van de betreffende betrokkene namelijk niet alleen in je originele administratie opgenomen, maar ook in de backup(s). De persoonsgegevens verwijderen uit de originele administratie zal niet zo’n probleem zijn. Bij de backup ligt dat mogelijk anders. Maar moeten de persoonsgegevens eigenlijk wel uit de backup verwijderd worden?
Het antwoord op die vraag is genuanceerd. Het recht om vergeten te worden is ook van toepassing op backups. Als een betrokkene een beroep doet op het recht om vergeten te worden, moeten zijn persoonsgegevens in principe zo snel mogelijk worden verwijderd, dus ook uit de backup. Maar wat is dat dan, zo snel mogelijk? En moeten de persoonsgegevens daadwerkelijk uit de backup worden verwijderd, of is een andere oplossing mogelijk?
Hoe kun je AVG-compliant omgaan met backups?
Het is belangrijk dat je in de eerste plaats inventariseert van welke persoonsgegevens je een backup maakt. Je mag alleen persoonsgegevens verwerken die noodzakelijk zijn voor het doel van jouw verwerking en je moet ook kunnen aantonen dat de verwerking van deze persoonsgegevens noodzakelijk is.
Daarnaast is het van belang dat je regelmatig een (nieuwe) backup maakt, waarbij je de eerdere backup systematisch verwijdert. Door het maken van een nieuwe backup en het systematisch verwijderen van de eerdere backup, geef je – weliswaar met enige vertraging – gehoor aan het verzoek van de betrokkene om vergeten te worden.Bovendien moet je de betrokkenen (bijvoorbeeld jouw klanten) duidelijk informeren over de aanvullende bewaartermijn die je hanteert voor backups. Stel dat je de persoonsgegevens van jouw klanten in beginsel 3 jaar na de laatst gesloten overeenkomst bewaart én dat je maandelijks een backup maakt. Dan is het dus heel goed mogelijk dat je de persoonsgegevens van een klant feitelijk 3 jaar plus 1 maand bewaart. Daarover moet je jouw klanten informeren, bijvoorbeeld in jouw privacystatement.
Tot slot is het van belang dat je het backupsysteem zo inricht, dat je (toegewezen) verwijderverzoeken van betrokkenen ook kan doorvoeren in dat systeem. Met andere woorden: als je – om welke reden dan ook – een backup van jouw administratie moet terugzetten, waardoor de persoonsgegevens die je had verwijderd weer in jouw ‘live’ administratie komen te staan, moet je deze opnieuw verwijderen.
Samenvattend: de persoonsgegevens hoeven niet direct uit de backup te worden verwijderd, als de eerdere backup maar wordt verwijderd op het moment dat er een nieuwe backup wordt gemaakt. Daarnaast moet je alert zijn op het moment dat je de backup moet terugzetten. Dan moeten de persoonsgegevens van de betrokkenen die om verwijdering hebben verzocht (opnieuw) worden verwijderd. Het is in dat verband raadzaam om binnen jouw organisatie een centraal document op te stellen, waarin de (toegewezen) verwijderingsverzoeken worden bijgehouden. Mocht zich een situatie voordoen waarin een backup wordt teruggezet, dan kan dat document worden geraadpleegd om te zien welke persoonsgegevens (weer) verwijderd moeten worden.
Het bovenstaande laat zich weergeven in het onderstaande stroomschema:
Vragen
Heb je vragen over dit onderwerp? Neemt u dan gerust contact met ons op. Wij adviseren je graag over de mogelijkheden.
Heb je een vraag?
Onze specialisten hebben een antwoord