Een back-up van je documenten, bestanden of systeem maken: het is erg belangrijk. Er hoeft maar iets kleins te gebeuren, waardoor je alles kwijt bent. Met name voor bedrijven is een back-up van levensbelang voor de continuïteit van het bedrijf.

Een dergelijke back-up kan echter informatie bevatten die onder de Algemene Verordening Gegevensbescherming (hierna: AVG) valt, zoals persoonsgegevens van klanten, leveranciers, medewerkers en andere relaties. Mag je deze gegevens opslaan in een back-up? En, indien je een verwijderingsverzoek ontvangt, moet je dat ook uit je back-up verwijderen? Merle van Leusden, senior-adviseur bij Ruimte in Advies, zocht het uit.  

De basis: Algemene Verordening Gegevensbescherming (AVG)

Sinds 25 mei 2018 is de AVG van toepassing in de gehele Europese Unie (EU). Hiermee is de Wet bescherming persoonsgegevens (Wbp) komen te vervallen. De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten:

  • Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.
  • Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld.
  • Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
  • Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt onder andere in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.
  • De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
  • De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens. Bijvoorbeeld voor persoonsgegevens over ras, gezondheid en geloofsovertuiging gelden extra strenge regels.

Vergeetrecht en verwijderingsverzoek

In artikel 17 van de AVG is het ‘recht op vergetelheid’ opgenomen, oftewel ‘het recht om vergeten te worden’. Dit betekent dat een ‘betrokkene het recht heeft van de verwerkingsverantwoordelijke om, zonder onredelijke vertraging, gegevenswissing van hem betreffende persoonsgegevens te verkrijgen’. Concreet betekent dit dat iedereen en dus elke persoon het recht heeft dat een organisatie, die geen goede reden heeft om diens persoonsgegevens te verwerken, de betrokkene ‘vergeet’ oftewel de persoonsgegevens verwijderd uit zijn database. 

Als betrokkene kun je hiervoor een verwijderingsverzoek indienen bij de desbetreffende organisatie. Dan is de organisatie verplicht de persoonsgegevens te verwijderen, tenzij sprake is van een uitzonderingsgrond. Een uitzonderingsgrond in dit geval kan zijn het algemeen belang, het garanderen van het recht op vrijheid van meningsuiting of een wettelijk opgelegde verplichting als organisatie. 

Ook al betreft het verzoek van de betrokkene een uitzonderingsgrond, dan is de organisatie alsnog verplicht te reageren op het verwijderingsverzoek. Dit moet binnen de termijn van één maand gebeuren. In de reactie van de organisatie dient te staan of de persoonsgegevens gewist worden of niet. Indien niet, dan moet de organisatie verwijzen naar een van de uitzonderingsgronden. Is dit allemaal niet het geval? Dan moeten de persoonsgegevens zo snel als mogelijk en kosteloos worden verwijderd. Ook dient te organisatie andere organisaties die de persoonsgegevens van de betrokkene in hun bezit hebben, omdat zij dat hebben doorgegeven, informeren over het verwijderingsverzoek. Vanzelfsprekend dienen zij de persoonsgegevens ook zo snel als mogelijk te verwijderen.  

Persoonsgegevens verwijderen in de back-up

Het doel van een back-up is om het bedrijf zo snel als mogelijk weer te continueren na storing of crash. Daar horen nu eenmaal persoonsgegevens bij. Dus bijna elke organisatie heeft persoonsgegevens opgeslagen in zijn back-up. Indien er een verwijderingsverzoek binnen komt, zullen ook de persoonsgegevens uit de back-up moeten worden verwijderd. 

De  AVG maakt hier echter geen groot probleem van. Het verwijderen van de gegevens zal niet zo snel mogelijk moeten gebeuren, omdat de aanwezige persoonsgegevens in de back-up niet vaak door de organisatie worden geraadpleegd of verwerkt. Dus indien er een verwijderingsverzoek binnenkomt en persoonsgegevens worden verwijderd, zullen deze gegevens in de eerstvolgende back-up niet meer vindbaar moeten zijn. Het is wel raadzaam om hier waakzaam op te zijn. De organisatie blijft immers verantwoordelijk.