Data bewaren en vernietigen

Data bewaren en vernietigen

Elk product, elke dienst en elk project komt uiteindelijk tot een einde: “All good things must come to an end”. En wat doe je dan met alle data die je verzameld hebt? In dit artikel behandelen wij hoe je om kunt gaan met data bewaren en vernietigen.

Data bewaren en vernietigen en de levenscyclus

Voor de levenscyclus van persoonsgegevens gelden vijf vaste fasen in het ILM-proces (Information Lifecycle Management): verzamelen, gebruiken, uitwisselen, bewaren, vernietigen. In deze blog gaan we in op hoe je met gegevens in de laatste twee fases omgaat. Het kan daarbij gaan om zowel documenten als bijvoorbeeld gegevens in databases.

Het is hierbij van belang twee verschillende vormen van data te kennen: de gestructureerde (geordend, gerubriceerd, opgeslagen in systemen en databases) en ongestructureerde (data die ergens in tekstbestanden, documenten en berichten zit). Je snapt meteen dat het het lastigst is om op de juiste manier met de levenscyclus om te gaan voor de ongestructureerde data (terwijl die vorm het hardst groeit). Bij dit artikel ligt de focus op de gestructureerde data.

Bij het begin beginnen

Als het goed is heb je stilgestaan bij de levenscyclus van je gestructureerde data voordat je begon met het verzamelen van persoonsgegevens, namelijk door te bepalen welke bewaartermijnen er gelden voor deze data en hoe je de data gaat vernietigen. Door dit zo vroeg mogelijk en by design te doen, voorkom je dat je pas persoonsgegevens gaat vernietigen als het eigenlijk al te laat is. Zo voorkom je bijvoorbeeld dat gegevens in een datalek belanden terwijl je ze niet meer in je bezit mocht hebben.

Wanneer vernietigen?

Naast wettelijke bewaartermijnen is er voor het bepalen van een bewaar- en vernietigingstermijn van persoonsgegevens maar één duidelijke regel: je bewaart ze zo kort mogelijk. Heb je ze niet meer nodig, dan gooi je ze weg. Of je gegevens nodig hebt kan in bepaalde gevallen lastig te bepalen zijn. Het is belangrijk om hierbij je gezond verstand te gebruiken en na te gaan tot wanneer het bewaren van persoonsgegevens proportioneel is.

Zelf vaststellen

In sommige gevallen betekent dit dat je af en toe moet controleren of gegevens nog nodig zijn, bijvoorbeeld als je binnen je platform persoonsgegevens verwerkt van gebruikers die al zes maanden niet meer actief zijn geweest. Je kunt je dan de vraag stellen of het nog noodzakelijk of proportioneel is om die gegevens te bewaren, ook al is het account niet opgezegd. In zo’n geval kan het goed zijn om aan gebruikers te vragen of ze hun account nog willen gebruiken.

Als je je keuzes by design inregelt, kun je de gebruiker van tevoren laten kiezen op welk moment de gegevens worden opgeruimd, bijvoorbeeld een halfjaar na de laatste activiteit. Ook voor het opruimen van gastaccounts met toegang regel je dit bij voorkeur van tevoren. Dat kan bijvoorbeeld door de eigenaar van een samenwerkingsomgeving geautomatiseerd op een vast moment te vragen om te controleren of een externe/gast nog terecht toegang heeft.

Bij wet voorgeschreven termijnen data bewaren en vernietigen

Vaak gelden er wettelijke bewaartermijnen en moet je gegevens verplicht bewaren gedurende een bepaalde termijn, bijvoorbeeld voor de belastingdienst..

Voorgeschreven termijnen kunnen minimale bewaartermijnen zijn (in ieder geval x aantal jaar) of maximale bewaartermijnen (maximaal x aantal jaar). Dit is best lastige materie. Hoe werkt dit nu precies?

Minimale bewaartermijn

Als er alleen een minimale bewaartermijn bekend is en geen maximale, is de organisatie vrij om documenten langer of permanent te bewaren, bijvoorbeeld voor een cultuurhistorisch belang of voor onderzoeksdoeleinden (wetenschappelijk, statistisch of analytisch). Persoonsgegevens die van belang zijn om te bewaren voor onderzoeksdoeleinden moeten worden gedocumenteerd en geanonimiseerd worden opgeslagen.

Maximale bewaartermijn

Als er een maximale bewaartermijn bekend is, is de organisatie verplicht om de documenten op het moment dat de maximale termijn bereikt is te vernietigen, maar mag dit niet eerder gebeuren. Het woord ‘maximale’ is wat verwarrend in de definitie, maar bij een minimale termijn mag je dus later vernietigen. Voor de minimale bewaartermijn moet je dus nog steeds zelf een afweging maken of je de persoonsgegevens misschien langer dan die minimale termijn nodig hebt.

Minimale én maximale bewaartermijn

Soms zijn er meerdere wetten van toepassing, waardoor er zowel een minimale als een maximale termijn bekend is. In dit geval houd je de maximale bewaartermijn aan, omdat documenten niet voor de maximale bewaartermijn mogen worden vernietigd.

Bewaarfase (archieffase)

Als je met een wettelijke bewaartermijn te maken hebt, mag je gegevens dus nog niet verwijderen, ook al heb je ze zelf niet meer nodig. Ze komen dan in de ‘bewaarfase’. Tijdens die statische fase moet de toegang anders worden geregeld (beperkt) dan tijdens de eerdere fases in de levenscyclus, omdat de gebruiksfase is afgerond. Voor de fase ‘bewaren’ kun je de informatie oormerken als ‘gearchiveerd’. Voor informatie met dat oormerk zorg je ervoor dat het niet standaard wordt ontsloten, maar dat het alleen benaderbaar is door daartoe bevoegde personen (zoals admin-functies, functioneel applicatiebeheer). Leg in een procedure vast hoe je omgaat met de bewaarfase van gevoelige, ongestructureerde data en pas dit toe.

Tips

  • Ga na welke grondslag je gebruikt voor je verwerking. Als je grondslag bijvoorbeeld toestemming of het uitvoeren van een overeenkomst is, kun je de bewaartermijn koppelen aan de duur van de geldigheid van de toestemming of de overeenkomst.
  • Zorg ervoor dat de data tijdens de bewaarfase alleen benaderbaar is door daartoe bevoegde personen.
  • Overleg met de data-architect op welke manier je bewaartermijnen kunt implementeren.
  • Kijk of je met technieken voor dataretentie automatisch labels voor bewaren en vernietigen kunt toepassen. Je kunt b.v. data geautomatiseerd vernietigen door de encryptiesleutel van versleutelde data in de bewaarfase op een vastgesteld moment te deleten.
  • Maak voor de ongestructureerde data bijvoorbeeld een mappenstructuur op jaar om per jaar makkelijk gegevens te verwijderen na een vaste bewaarperiode.