AVG: Back-up met persoonsgegevens schept speciale situatie

13 november 2018 Door redactie

Onder de AVG mag een klant of betrokkene een verwijderingsverzoek doen. Honoreren van dit verzoek kan tot nieuwe vragen leiden, want is uw organisatie dan verplicht om de gegevens van die persoon ook uit de back-up te wissen?

Organisaties kunnen geconfronteerd worden met een verwijderingsverzoek van een klant of relatie. Als het gaat om onjuiste, verouderde of niet langer relevante data, moet een organisatie daaraan voldoen. Daar kan bijvoorbeeld sprake van zijn als iemand vier jaar geleden een aankoop heeft gedaan en in de tussentijd geen contact meer heeft gehad. Als de gegevens ook niet meer vanwege een andere wettelijke verplichting bewaard hoeven te worden - denk aan belastingtechnische redenen - dan moeten de persoonsgegevens gewist worden.

Bedrijfscontinuïteit

Maar hoe zit het in dat geval met een back-up? IT-jurist Arnoud Engelfriet is van mening dat de gegevens niet uit de back-up (tools) verwijderd hoeven te worden. Volgens hem is het doel van de back-up om na een IT-probleem de boel weer snel op poten te kunnen hebben. Dat doel dient de bedrijfscontinuïteit en daar heeft de AVG (tool) geen problemen mee. Wél is het zo dat door het herstellen van de back-up ook verwijderde persoonsgegevens weer teruggezet worden. Dat is uiteraard niet de bedoeling, en organisaties moeten dus een procedure klaar hebben liggen om eenmaal verwijderde gegevens na het herstellen van de back-up opnieuw te verwijderen.

Persoonsgegevens opnieuw wissen

Er moet dus een centraal bestand zijn waar verwijderingsverzoeken worden opgeslagen. Dat bestand moet meelopen in de back-up. Daarnaast moet er iemand voor verantwoordelijk zijn dat na een ‘restore’ de vanaf het moment van de laatste back-up verwijderde persoonsgegevens opnieuw gewist worden.

Bijlagen bij dit bericht

Gerelateerd aan dit nieuwsartikel

Laatst toegevoegd

Meest gelezen

E-learningcursussen

  • Wet- en regelgeving voor ondernemers
    • Videocollege 29 minuten

    De cursus 'Wet en regelgeving voor ondernemers' bespreekt achtereenvolgens de hoofdzaken van de Arbowet, de Wet bescherming persoonsgegevens, Regelgeving voor bedrijf en omgeving en...

  • Meldplicht datalekken
    • Videocollege 7 minuten

    De meldplicht datalekken geldt sinds 1 januari 2016. Het houdt in dat uw organisatie een melding moet doen bij de Autoriteit Persoonsgegevens zodra er sprake is van een ernstige...

  • AVG: een introductie
    • Videocollege 14 minuten

    De AVG is vanaf 25 mei 2018 van toepassing en iedere organisatie moet hieraan voldoen. Onderschat niet de aanpassingen die uw organisatie hiervoor moet doen, want het zal een grote...

Heeft u een vraag over Algemene Verordening Gegevensbescherming (AVG)?

Jadeena Janssen

Advocaat

AKD
Adviseur is nu beschikbaar