Recht om te herinneren

Afgelopen periode hebben we al op dit forum kunnen constateren dat de Europese privacywetgeving veel vragen oproept. De verwachting is dat die vragen in de loop van 2018 alleen maar zullen toenemen mede omdat de kaders in relatie tot de Archiefwet nog nader uitgewerkt moeten worden.

Daarbij zijn er ook grote zorgen rondom de AVG, betekent dat het recht van vergeten ook automatisch dat je geen recht meer hebt om te herinneren ? Het Nationaal Archief heeft daarom het archiefwezen al ook opgeroepen tot actie.

Frank van Vonderen, Privacy by design

Wanneer zaken onduidelijk zijn, is het altijd prettig wanneer er specialisten zijn die wel duidelijkheid bieden in de raadselen rondom de AVG. Een van die specialisten is Frank van Vonderen, die in juni 2017 een boekje schreef onder de titel Privacy by Design. In het dagelijks leven is Frank van Vonderen hoofddocent van de IIR Opleiding Privacy by Design. Het boekje kreeg ik zelfs gratis! toegestuurd, maar had het tot voor kort niet gelezen. Een van de suggesties uit de publicatie wil ik op BREED delen, te weten digitale verwijdering van gegevens in relatie tot de AVG.

Digitale verwijdering van gegevens

We hebben jaren eerder al geconstateerd dat het technisch niet mogelijk is om bestanden echt te vernietigen/verwijderen. Het bonnetje van Teeven wordt vaak als voorbeeld gebruikt, er is altijd wel een back-up beschikbaar om die vernietigde informatie weer te reproduceren.  Veel vak applicaties beschikken zelfs niet over de functionaliteit om dat te doen. 

Van Vonderen gaat daar in zijn publicatie op in:

De 'verwijderoptie' creëren is namelijk een complexe technisch-organisatorische opgave. Ten eerste moeten systemen zo worden ingericht dat data daadwerkelijk verwijderd kan worden. Dat gaat verder dan gegevens op inactief zetten of ze in een archief plaatsen. De gegevens moeten echt overal weg zijn, ook bijvoorbeeld uit oude back-ups. Daarnaast vraagt de metadatering van gegevens: een gegeven verrijken met gegevens zoals een bewaartermijn. Tot slot draait het ook om het inrichten van de processen en de bijbehorende verantwoordelijkheden om erop toe te zien dat gegevens daadwerkelijk verwijderd worden.

Van Vonderen komt ok met de volgende suggestie, is die werkbaar in de praktijk vraag ik aan jullie ? Andere suggesties zijn meer dan welkom.

Een dergelijke proactieve houding is in de praktijk niet altijd mogelijk: organisaties werken nu eenmaal vaak met systemen en gegevenssets die soms al vele jaren oud zijn. in dat geval is het overwegen waard persoonsinformatie die niet meer wordt gebruikt in een digitaal archief te plaatsen. Het is dan misschien niet verwijderd, maar je kan wel voorkomen dat risicovolle gegevens makkelijk verkeerd worden gebruikt.

Weergaven: 567

Hierop reageren

Berichten in deze discussie

De privacy en veiligheid van  persoonsgegevens zijn maar 1 kant van de medaille. AVG gaat ook om de mogelijkheid van de burger om data op te vragen, te verbeteren of te laten verwijderen - daar is digitale archivering geen oplossing voor. Organisaties die onder de Archiefwet  vallen moeten zorgen dat ze aan de voorkant geen info meer "binnenkrijgen" bij DIV die volgens de AVG niet verwerkt had hoeven/moeten worden.

Waarschijnlijk zal dit veel meer vernietiging tot gevolg hebben dan voorheen...

Waarschijnlijk wordt het verder in het boek uitgewerkt, maar waarom zou het helpen als je iets in een archief plaatst? Dat lijkt me vooral een kopieeractie dus dan heb je die gegevens nog steeds op de oorspronkelijke plaats(en) staan? En als je ze daar vervolgens uit kunt halen, dan had je dus eigenlijk al niet zo'n probleem. Of zie ik het nu te simpel?

Volgens mij zit het probleem in de techniek, bij veel applicaties kan je eenvoudig weg niet vernietigen/verwijderen. Maar dat is mijn interpretatie.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden