Recht om te herinneren

Afgelopen periode hebben we al op dit forum kunnen constateren dat de Europese privacywetgeving veel vragen oproept. De verwachting is dat die vragen in de loop van 2018 alleen maar zullen toenemen mede omdat de kaders in relatie tot de Archiefwet nog nader uitgewerkt moeten worden.

Daarbij zijn er ook grote zorgen rondom de AVG, betekent dat het recht van vergeten ook automatisch dat je geen recht meer hebt om te herinneren ? Het Nationaal Archief heeft daarom het archiefwezen al ook opgeroepen tot actie.

Frank van Vonderen, Privacy by design

Wanneer zaken onduidelijk zijn, is het altijd prettig wanneer er specialisten zijn die wel duidelijkheid bieden in de raadselen rondom de AVG. Een van die specialisten is Frank van Vonderen, die in juni 2017 een boekje schreef onder de titel Privacy by Design. In het dagelijks leven is Frank van Vonderen hoofddocent van de IIR Opleiding Privacy by Design. Het boekje kreeg ik zelfs gratis! toegestuurd, maar had het tot voor kort niet gelezen. Een van de suggesties uit de publicatie wil ik op BREED delen, te weten digitale verwijdering van gegevens in relatie tot de AVG.

Digitale verwijdering van gegevens

We hebben jaren eerder al geconstateerd dat het technisch niet mogelijk is om bestanden echt te vernietigen/verwijderen. Het bonnetje van Teeven wordt vaak als voorbeeld gebruikt, er is altijd wel een back-up beschikbaar om die vernietigde informatie weer te reproduceren.  Veel vak applicaties beschikken zelfs niet over de functionaliteit om dat te doen. 

Van Vonderen gaat daar in zijn publicatie op in:

De 'verwijderoptie' creëren is namelijk een complexe technisch-organisatorische opgave. Ten eerste moeten systemen zo worden ingericht dat data daadwerkelijk verwijderd kan worden. Dat gaat verder dan gegevens op inactief zetten of ze in een archief plaatsen. De gegevens moeten echt overal weg zijn, ook bijvoorbeeld uit oude back-ups. Daarnaast vraagt de metadatering van gegevens: een gegeven verrijken met gegevens zoals een bewaartermijn. Tot slot draait het ook om het inrichten van de processen en de bijbehorende verantwoordelijkheden om erop toe te zien dat gegevens daadwerkelijk verwijderd worden.

Van Vonderen komt ok met de volgende suggestie, is die werkbaar in de praktijk vraag ik aan jullie ? Andere suggesties zijn meer dan welkom.

Een dergelijke proactieve houding is in de praktijk niet altijd mogelijk: organisaties werken nu eenmaal vaak met systemen en gegevenssets die soms al vele jaren oud zijn. in dat geval is het overwegen waard persoonsinformatie die niet meer wordt gebruikt in een digitaal archief te plaatsen. Het is dan misschien niet verwijderd, maar je kan wel voorkomen dat risicovolle gegevens makkelijk verkeerd worden gebruikt.