Onveranderbare backups en het recht op vergetelheid uitgelegd
Onveranderbare backups klinken als de perfecte bescherming tegen ransomware en menselijke fouten. Data kan niet worden aangepast of verwijderd, waardoor je altijd een betrouwbare kopie hebt. Tegelijkertijd verplicht de Algemene verordening gegevensbescherming organisaties om het recht op vergetelheid te respecteren. Dat roept direct een spanningsveld op: hoe verwijder je persoonsgegevens als je backups per definitie niet kunt wijzigen.
Waarom onveranderbare backups juridisch gevoelig zijn
Onveranderbare backups zorgen ervoor dat bestanden, databases en logbestanden exact bewaard blijven zoals ze op het moment van de backup waren. Voor continuïteit en digitale veiligheid is dat ideaal. Vanuit de avg levert het echter risico op als persoonsgegevens langer worden bewaard dan noodzakelijk, of als betrokkenen hun recht op vergetelheid uitoefenen. De kern ligt in het doelbindings- en opslagbeperkingsbeginsel: je mag data niet oneindig blijven bewaren wanneer het doel vervalt.
Technische strategieën om avg en backups te laten samenwerken
Gelukkig hoeft het gebruik van onveranderbare backups niet in strijd te zijn met de avg, mits je zorgvuldig ontwerpt. Met een combinatie van dataminimalisatie, duidelijke bewaartermijnen en technische scheiding kun je rechtmatig blijven werken en toch een robuuste backuplaag behouden.
Werken met bewaartermijnen en gelaagde retentie
Een belangrijke stap is het definiëren van concrete bewaartermijnen voor zowel productiegegevens als backups. Implementeer gelaagde retentie, waarbij korte termijn backups gedetailleerd zijn en langere termijn backups meer geaggregeerd of geanonimiseerd. Zodra een retentieperiode afloopt, laat je de betreffende backupsets volledig expireren in plaats van selectief te wissen in een onveranderbare set. Zo verminder je het risico dat verouderde persoonsgegevens onnodig blijven bestaan.
Pseudonimiseren en anonimiseren van persoonsgegevens
Door gevoelige velden in je primaire database te pseudonimiseren of tijdig te anonimiseren, belanden er minder direct herleidbare persoonsgegevens in je onveranderbare backups. Dat verkleint de impact wanneer data ondanks alles langer blijft bestaan. In een eerdere blog over het technisch implementeren van het recht op vergetelheid zijn we al dieper ingegaan op het anonimiseren van databases en het scheiden van sleutelbestanden.
Organisatorische maatregelen en documentatie
Alleen technische maatregelen zijn niet genoeg. De avg vraagt om aantoonbare naleving. Dat betekent dat je processen, keuzes en uitzonderingen helder moet vastleggen. Zo kun je bij vragen van betrokkenen of de Autoriteit Persoonsgegevens uitleggen waarom bepaalde data nog in een backup voorkomt en wanneer die definitief verdwijnt.
Verwerkersovereenkomst en backupbeleid met je hostingpartij
Wanneer je hosting of clouddiensten afneemt, is je provider vaak verwerker in de zin van de avg. In de verwerkersovereenkomst moeten retentie, type backups, locatie van data en omgang met onveranderbare backups expliciet zijn geregeld. Bij PC Patrol helpen we organisaties om hosting en backupinrichting zo op te zetten dat deze aantoonbaar avg-proof is, inclusief passende beveiligingsmaatregelen en heldere rollen en verantwoordelijkheden. Meer over onze aanpak lees je op de pagina over hosting, waar we ingaan op veiligheid, datalokatie en continuïteit.