Skip to main content

Aantoonbaar verwijderen van data

In artikel 5 van de AVG worden de beginselen inzake verwerking van persoonsgegevens beschreven. Waarbij persoonsgegevens niet langer worden bewaard dan noodzakelijk. Vervolgens wordt in het register van verwerkingen voor elke verwerking de bewaartermijn bepaalt. Maar is de opvolging geregeld? Wie is verantwoordelijk voor de uitvoering van het verwijderen van persoonsgegevens waarvan de bewaartermijn is bereikt? Of worden persoonsgegevens geanonimiseerd zodat men data langer voor statistisch- of wetenschappelijk onderzoek kan bewaren?

Rol van verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is accountable voor het tijdig verwijderen van persoonsgegevens. Weet u waar data wordt gearchiveerd en wie daarvoor uitvoerend responsible voor is? Hoe behoudt de organisatie de kennis om data van 7 jaar geleden bijvoorbeeld terug te vinden en deze te verwijderen? Wie verwijdert data op back ups? De praktijk leert dat om aantoonbaar aan de AVG te voldoen voor het onderdeel verwijderen van data er nog veel bevindingen zijn. De kennis en ervaring op dit terrein vraagt nog veel onderzoek en ontwikkeling om dit te beschrijven in werkprocessen en aantoonbaar te waarborgen. Daarnaast maakt u als verwerkingsverantwoordelijke met uw verwerkers afspraken dat zij conform uw beleid data tijdig teruggeven of verwijderen. Maar weet u hoe uw verwerker dit heeft geregeld en hier aantoonbaar aan voldoet?

Rol van verwerker

U bent verwerker en ontvangt data van verwerkingsverantwoordelijke/opdrachtgever. Voor de verwerking van persoonsgegevens heeft u een opdrachtovereenkomst met een SLA en verwerkingsovereenkomst. U houdt zelf een register van verwerkingen bij, in het goede geval op niveau per opdrachtgever. Wie beheert bij de activiteit het aantoonbaar verwijderen van persoonsgegevens van uw opdrachtgevers? Hoe wordt dit vastgelegd zodat er een audit trail is?

Verschillende certificeringen zoals ISAE of ISO vragen dat het tijdig verwijderen van persoonsgegevens zichtbaar is vastgelegd en mogelijk met een interne controle is afgevinkt.

En niet vastgelegd, is niet gebeurd.

Mijn ervaring in de praktijk is dat deze materie dikwijls onvoldoende is beschreven en wordt opgevolgd. Totdat een opdrachtgever wijzigt van leverancier en de verwerker verzoekt een verklaring af te geven dat alle persoonsgegevens en data is verwijderd. Data staat op verschillende directories, lokale servers maar waar in de cloud? Eens over sparren, bel DPO Partner, 06 5127 0763.

Vriendelijke groet,

Frans Pijnenborg