World Backup Day - GDPR en back-ups nemen, gaat dat wel samen?

31 maart is het World Backup Day, een dag in het leven geroepen om ieder van ons te wijzen op het belang van het nemen van back-ups. Met de nieuwe privacywetgeving zijn de spelregels inzake back-ups veranderd. Wat kan wel en wat kan niet bij het nemen van een back-up? Wij beantwoorden uw vragen.  

gdpr_backup

Is het nemen van een backup in strijd met de GDPR-regelgeving?

Absoluut niet!

De EU moedigt alle ondernemingen en organisaties persoonsgegevens te verwerken met het hoogste niveau van privacybescherming. Een back-up is een eerste belangrijke stap. Maar om volledig GDPR-compliant te zijn, zijn er een aantal voorwaarden waar uw back-up aan moet voldoen:

  • De gegevens moeten actueel zijn. Voorzie dus de mogelijkheid om data makkelijk aan te passen.
  • Gebruik pseudonimisering en codering om berichten en persoonlijk identificeerbaar materiaal te versleutelen. Zo verhindert u dat data in verkeerde handen vallen.
  • Voorzie een efficiënte manier voor data export. Personen (personeel, klanten,…) kunnen contact opnemen met uw onderneming om hun gegevens te bekijken, veranderen of verwijderen. Dit verzoek moet binnen de maand ingewilligd worden. Zorg er dus voor dat uw back-up dit verzoek ook makkelijk toelaat.

Hoe lang mag ik een back-up bewaren?

De Europese privacywetgeving geeft aan dat gegevens niet langer dan de uiterst noodzakelijke termijn mogen bewaard worden. Hoe kort of lang deze tijdsperiode dan is, hangt dus af van het doel waarvoor de gegevens gebruikt zullen worden. Een concreet voorbeeld ligt dit toe.

Een wervingsbureau verzamelt cv's van werkzoekenden die, in ruil voor de aangeboden bemiddelingsdiensten, een vergoeding betalen. Het bureau argumenteert de gegevens twintig jaar te bewaren. Daarnaast treft ze geen verder maatregelen om de cv’s te actualiseren.

Dit is in strijd met de Europese privacywetgeving. De opslagperiode lijkt niet evenredig met het doel om op korte tot middellange termijn werk voor iemand te vinden. Doordat het wervingsbureau niet regelmatig de cv’s actualiseert, wordt een deel van de zoekopdrachten na een bepaalde tijd bovendien nutteloos voor de werkzoekende.

Mag iedereen zomaar een back-up maken of gegevens verwerken?

In principe wel, maar het is aangewezen een Data Protection Officer (DPO) aan te stellen. Deze verwerkingsverantwoordelijke bepaalt dan de doeleinden en de middelen waarmee persoonsgegevens verwerkt en bewaard worden. Het is idealiter ook deze persoon die de back-ups managet.

Ook andere personen of organisaties naast de DPO mogen persoonsgegevens verwerken op voorwaarde dat er een overeenkomst of andere rechtshandeling is. Onderstaand voorbeeld ligt toe.

Een detailhandelsbedrijf besluit een back-upversie van zijn klantendatabase op te slaan op een cloudserver. Hiervoor sluit het een overeenkomst met een cloudaanbieder, die onder andere over een gecertificeerd versleutelingssysteem voor gegevens beschikt. De cloudaanbieder is in dit geval de verwerker, omdat hij de persoonsgegevens op zijn servers opslaat en die gegevens  namens het detailhandelsbedrijf verwerkt.

Bron: Europese Commissie - Regels voor de bescherming van persoonsgegevens binnen en buiten de EU.

 

 

  179