Bij het vaststellen van bewaartermijnen voor gegevens in applicaties en databases ligt de nadruk op de gegevens die actueel worden gebruikt. Wanneer er bij een verstoring gegevens verloren gaan, kunnen deze vaak worden hersteld met behulp van een reservekopie, beter bekend als een back-up. De reservekopie bevat dan dus ook persoonsgegevens, waarvoor ook de vastgestelde bewaartermijnen gelden. In dit artikel belicht ik aandachtspunten rond back-ups vanuit privacyperspectief.
Back-ups of reservekopieën worden gemaakt om gegevens te kunnen herstellen bij een verstoring. In het verleden werd daarbij vaak gedacht aan defecte apparatuur, zoals een gecrashte harde schijf. Tegenwoordig staat het risico van hackers en ransomware meer op de voorgrond. Hackers gebruiken ransomware om de gegevens onleesbaar te maken door versleuteling. Vervolgens vragen zij om betaling van losgeld om de gegevens weer leesbaar te maken. In Nederland is dit vooral bekend geworden door het incident eind 2019 bij de Universiteit Maastricht, waarbij onderwijs- en onderzoeksgegevens pas na betaling van losgeld weer beschikbaar kwamen. Ook bij andere hack- en ransomware-aanvallen helpen back-ups om weer een veilig systeem op te bouwen.
Back-ups werden lange tijd ‘s nachts en in het weekend gemaakt, omdat de systemen tijdens het maken van de back-up niet gebruikt konden worden. Daarnaast kon het maken van back-ups uren duren, omdat destijds nog gebruikgemaakt werd van tapes/magneetbanden. Om die reden werd in het weekend vaak een complete kopie gemaakt en op weekdagen alleen een kopie van gewijzigde gegevens. Een voordeel van back-ups op ‘tape’ was dat de tapes in een kast lagen (‘offline’) en niet toegankelijk waren voor hackers.
Een voordeel van de huidige back-uptechnologie is dat back-ups vaak én gedurende het gebruik van een systeem gemaakt kunnen worden, soms meerdere keren per dag of per uur, afhankelijk van de eisen van het bedrijfsproces. Ook wordt voor het maken van back-ups steeds meer gebruikgemaakt van harde schijven die via het netwerk toegankelijk zijn (‘online’). Hierbij ontstaat het risico dat hackers of ransomware niet alleen de productiedata beschadigen of onleesbaar maken, maar ook de back-ups. Het offline beschikbaar hebben van back-ups blijft dus belangrijk.
Met het oog op privacy is het belangrijk dat gegevens beschikbaar zijn en blijven, ook na een verstoring. De Algemene verordening gegevensbescherming (AVG) noemt bij de informatiebeveiliging expliciet het risico van vernietiging, verlies of wijziging van gegevens. Daarmee is het maken van back-ups een verplichting die voortvloeit uit de AVG, wat tegelijk een grondslag is voor het maken en bewaren van back-ups.
Ook wordt het verlies van gegevens gezien als een datalek. Het niet beschikbaar zijn van gegevens kan immers ook grote gevolgen hebben voor betrokkenen. Denk maar aan ontlastend bewijs in een strafrechtelijk onderzoek, de aflossing van een schuld of het aantekenen van bezwaar of beroep tegen een besluit van de overheid.
Het bestaan van reservekopieën kan ook een privacyrisico zijn. Waar worden de reservekopieën bewaard en wie heeft daar toegang toe? Maar ook: hoe worden de back-ups gewist? In de tijd van tape-back-ups werden de - relatief dure - tapes hergebruikt en overschreven en werd een oude back-up dus vanzelf gewist. Tegenwoordig is opslagcapaciteit veel goedkoper en worden back-ups als bestanden in cloudopslag opgeslagen. Het komt voor dat back-ups dan “voor de zekerheid” (te) lang worden bewaard.
In principe maakt het niet uit of persoonsgegevens in de door de medewerkers gebruikte database staan of in een back-up. Na het verstrijken van de vastgestelde en/of wettelijke bewaartermijn moeten deze uit de back-up worden gewist. Dat geldt in het bijzonder voor gegevens die op verzoek van een betrokkene worden gewist, bijvoorbeeld op grond van de AVG, de Wet op de geneeskundige behandelingsovereenkomst (WGBO) of de Jeugdwet.
Naar de letter van de wet moeten individuele persoonsgegevens of dossiers uit een back-up verwijderd kunnen worden. Maar de huidige back-uptechniek voorziet daarin meestal niet. Dat ziet ook de Autoriteit Persoonsgegevens (AP), die daarom stelt dat deze gegevens of dossiers alsnog moeten worden verwijderd als een back-up is gebruikt om het systeem te herstellen.
Ook stelt de AP dat goed bedacht moet worden hoelang de back-ups nog nuttig zijn.
Uitgangspunt moet ook hier zijn de back-up niet langer te bewaren dan nodig voor het doel van informatiebeveiliging. Dat kan immers worden gezien als wettelijke verplichting en daarmee als grondslag. Is het nog zinvol om een back-up van een jaar geleden te herstellen, wanneer er ook een back-up van een dag of een week oud beschikbaar is? Waarschijnlijk niet. De AP geeft als voorbeeld een bewaartermijn van 3 maanden voor back-ups. Vaak zal dat voldoende zijn. Sommige back-upstrategieën bewaren dag-back-ups een week, week-back-ups een maand en maand-back-ups een jaar. Een nog langere termijn dan een jaar vraagt om een deugdelijke onderbouwing. Kijk bijvoorbeeld naar de verhouding tussen de bewaartermijn van de gegevens en de back-up: een bewaartermijn van een jaar voor een back-up van een zorgdossier dat 20 jaar bewaard moet worden, is gemakkelijker uit te leggen dan diezelfde termijn voor een personeelsdossier dat na twee jaar verwijderd moet worden.
Het is belangrijk om onderscheid te maken tussen back-ups en archivering. Archivering wordt ingezet om gegevens buiten het reguliere systeem beschikbaar te houden voor raadpleging, audits, archivering in het algemeen belang (met name bij de overheid), etc. Gearchiveerde gegevens zullen dus bewaard moeten worden zolang raadpleging nodig is. Dit mag alleen binnen de geldende bewaartermijnen. Back-ups mogen alleen worden bewaard zolang ze nodig zijn om gegevens bij een verstoring te kunnen herstellen.
Uw organisatie maakt mogelijk ook gebruik van cloudapplicaties of leveranciers die een back-up van uw gegevens maken. Daarvoor is uw organisatie verantwoordelijk, omdat de leveranciers veelal de rol van verwerker hebben. Heeft u afspraken gemaakt over hoelang back-ups bewaard mogen worden? Vaak worden leveranciers daar niet op bevraagd. Desgevraagd bleek een leverancier de back-ups zeven jaar te bewaren, “voor de zekerheid”. Daarmee waren de klanten van de leverancier in overtreding wat betreft de AVG.
Samengevat is het belangrijk om aandacht te hebben voor back-ups en het bewaren daarvan. Om back-ups goed te beschermen en onjuist gebruik te voorkomen is het volgende van belang:
Creëer een overzicht van de back-ups.
Bepaal met ICT en de privacy officer hoe lang deze bewaard moeten worden.
Controleer of de back-ups succesvol gemaakt zijn.
Controleer periodiek het herstellen van de back-ups.
Verwijder oude back-ups na de bepaalde bewaartermijn, liefst automatisch.
Beperk de toegang tot back-ups tot enkele medewerkers.
Zorg ervoor dat verwijderde gegevens opnieuw worden verwijderd na het herstellen van een systeem met behulp van een back-up.
Maak ook met leveranciers afspraken over de maximale termijn voor het bewaren van back-ups.
