Back-up en het recht op vergetelheid (AVG)

Heel vaak krijg ik de vraag of back-up ook onder het recht van vergetelheid vallen. Ik zeg dan “Ja, ieder bedrijf moet het recht op vergetelheid ook toepassen op digitale back-upbestanden”. M.a.w. als iemand vraag zijn gegevens te verwijderen dan moet u zijn persoonsgegevens ook (zo snel als mogelijk) uit uw back-ups verwijderen.

Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben mensen het recht op vergetelheid. Dit houdt in dat u in bepaalde gevallen verplicht bent om iemands gegevens te verwijderen als diegene hierom vraagt. Bijvoorbeeld als de gegevens niet meer nodig zijn of als die persoon zijn toestemming intrekt.

Zo gaat u goed om met back-ups onder de AVG:

  • Inventariseer van welke gegevens u back-ups moet bijhouden, bijvoorbeeld vanwege uw beveiligingsbeleid. Houd er rekening mee dat u alleen gegevens mag verwerken die noodzakelijk zijn voor het doel van uw verwerking (zie artikel 5 van de AVG). U moet ook kunnen aantonen dat deze gegevens noodzakelijk zijn. Dat is onderdeel van uw verantwoordingsplicht.
  • Maak regelmatig back-ups en verwijder systematisch verouderde gegevens.
  • Informeer mensen goed over welke aanvullende bewaartermijn noodzakelijk is voor back-ups van uw specifieke dienstverlening. Bijvoorbeeld: u bewaart persoonsgegevens van klanten 1 jaar in uw reguliere systemen, maar hanteert aanvullend een bewaartermijn van 3 maanden voor uw back-ups.
  • Richt uw back-upsysteem zo in dat u verwijderverzoeken van betrokkenen ook kan doorvoeren in dit systeem. Is het noodzakelijk voor uw dienstverlening om back-ups te maken die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het onverhoopt nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.