Aantoonbaar verwijderen van data
In artikel 5 van de AVG worden de beginselen inzake verwerking van persoonsgegevens beschreven. Waarbij persoonsgegevens niet langer worden bewaard dan noodzakelijk. Vervolgens wordt in het register van verwerkingen voor elke verwerking de bewaartermijn bepaalt. Maar is de opvolging geregeld? Wie is verantwoordelijk voor de uitvoering van het verwijderen van persoonsgegevens waarvan de bewaartermijn is bereikt? Of worden persoonsgegevens geanonimiseerd zodat men data langer voor statistisch- of wetenschappelijk onderzoek kan bewaren?
Rol van verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is accountable voor het tijdig verwijderen van persoonsgegevens. Weet u waar data wordt gearchiveerd en wie daarvoor uitvoerend responsible voor is? Hoe behoudt de organisatie de kennis om data van 7 jaar geleden bijvoorbeeld terug te vinden en deze te verwijderen? Wie verwijdert data op back ups? De praktijk leert dat om aantoonbaar aan de AVG te voldoen voor het onderdeel verwijderen van data er nog veel bevindingen zijn. De kennis en ervaring op dit terrein vraagt nog veel onderzoek en ontwikkeling om dit te beschrijven in werkprocessen en aantoonbaar te waarborgen. Daarnaast maakt u als verwerkingsverantwoordelijke met uw verwerkers afspraken dat zij conform uw beleid data tijdig teruggeven of verwijderen. Maar weet u hoe uw verwerker dit heeft geregeld en hier aantoonbaar aan voldoet?
Rol van verwerker
U bent verwerker en ontvangt data van verwerkingsverantwoordelijke/opdrachtgever. Voor de verwerking van persoonsgegevens heeft u een opdrachtovereenkomst met een SLA en verwerkingsovereenkomst. U houdt zelf een register van verwerkingen bij, in het goede geval op niveau per opdrachtgever. Wie beheert bij de activiteit het aantoonbaar verwijderen van persoonsgegevens van uw opdrachtgevers? Hoe wordt dit vastgelegd zodat er een audit trail is?
Verschillende certificeringen zoals ISAE of ISO vragen dat het tijdig verwijderen van persoonsgegevens zichtbaar is vastgelegd en mogelijk met een interne controle is afgevinkt.
En niet vastgelegd, is niet gebeurd.
Mijn ervaring in de praktijk is dat deze materie dikwijls onvoldoende is beschreven en wordt opgevolgd. Totdat een opdrachtgever wijzigt van leverancier en de verwerker verzoekt een verklaring af te geven dat alle persoonsgegevens en data is verwijderd. Data staat op verschillende directories, lokale servers maar waar in de cloud? Eens over sparren, bel DPO Partner, 06 5127 0763.
Vriendelijke groet,
Frans Pijnenborg
Ambitie Frans Pijnenborg,
de man achter DPO Partner
Vanuit mijn passie om de klantbelofte waar te maken, ben ik sinds 2012 als compliance officer zelfstandig actief. Op de waarde van vertrouwen, ambieer ik het functioneren van organisaties te versterken. Privacy en IB vormen een waardevol goed voor iedere organisatie. Ik heb mij daar in gespecialiseerd om voor u een waardevolle gesprekspartner te zijn.
- Frans Pijnenborg CCP DPO
Contact
DPO Partner
Spoorlaan 21K
5038 CB Tilburg
Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.
013 505 3383
K.v.K nr. 70052581
Kantoortijden:
Maandag tot en met vrijdag
8.30 – 17.00 uur
Privacy gaat 24/7 door.
In geval van calamiteit, datalek of incident, zijn wij altijd bereikbaar.
Privacy- en cookie statement