Vergeetrecht en backups

Vanaf mei 2018 kunnen personen beroep doen op ‘vergeetrecht’. Ze kunnen eisen dat dat hun persoonsgegevens verwijderd worden. Organisaties maken echter back-ups van hun gegevens. Bij een calamiteit worden deze gegevens her-ingelezen. Daarmee wordt soms een eerder gemaakte verwijdering weer ongedaan gemaakt en dus wordt dan de AVG overtreden. Wat te doen?

ook in backups verwijderen?

Een verwijderingsverzoek ook doorvoeren in de back-ups is technisch-organisatorisch lastig en duur. Niet alleen zijn de back-ups vaak alleen op opslagmedia beschikbaar. Ze moeten dus eerst ingelezen worden om de data te kunnen zien. Ook zijn back-ups vaak niet volledig, want incrementeel. Uitzoeken op welke back-up de gewraakte gegevens voorkomen  is arbeidsintensief en systeembelastend. Ik denk dat je met recht kunt stellen dat het in deze gevallen het bedrijfsbelang groter is dan het persoonsbelang. Gelukkig is er ook een eenvoudiger oplossing:

Registreer verwijderverzoeken en wanneer ze uitgevoerd zijn.  Voer de verwijdering nog een keer uit wanneer een backup teruggezet wordt. Dat hoeft dus alleen te gebeuren voor die verzoeken die jonger zijn dan de laatste back-up. Omdat bij voorkeur de meest recente backup teruggezet wordt zal dat minimale extra inspanning zijn. Een simpele toevoeging op de recovery procedure is dus genoeg om AVG-compliant te blijven.

Een heel andere situatie waarin correctie- en vergeetrecht een rol spelen is wanneer er sprake is van archivering. Daarover meer alhier