Back-ups, Archivering en de GDPR

Over het maken van back-ups en de impact van de GDPR is op ISP Today al het nodige geschreven. Het zijn twee onderwerpen die tot op heden apart werden behandeld. Deze keer wijzen we op de link tussen de twee en plakken er voor het gemak ook het begrip archivering aan vast.

Aanleiding

Er zijn twee directe aanleidingen voor dit artikel. De eerste is een aantal opmerkingen gehoord tijdens de workshop van Mathieu Paapst tijdens het congres “Security Today and Tomorrow”. Tweede reden is een langer artikel in de laatste uitgave van iX. Dat nummer was net uit toen het congres plaatsvond en “Back-ups en Archivering volgens de wet” (vertaald) schetst een breder kader van wat in Amersfoort besproken werd.

Waar het om gaat klinkt zo simpel: elk bedrijf genereert data. Die data wordt gebruikt. Zodra de tijd en de processen het toelaten wordt die data veelal opgeslagen. Waarom data wordt opgeslagen? Drie hoofdredenen:

  • de dataset gaat later nog gebruikt worden voor een zelfde proces;
  • de data kan worden gebruikt om een andere dataset of proces te verbeteren;
  • omdat er een bewaarplicht is.

Data minimalisatie

Zodra in dit verhaal persoonsgegevens een rol gaan spelen wordt het met de komst van de GDPR in mei 2018 opeens een ander verhaal. Data minimalisatie is de term die in deze context vaker wordt gebruikt. Gij zult niet meer en niet langer opslaan dan strikt noodzakelijk is. Menig bedrijf dat data van klanten en prospects sinds x (de vorige eeuw?) bewaard komt hierdoor in de problemen. Meer dan 10 jaar de NAW et cetera bewaren van iemand die ooit 1 onderdeel of 1 dienst heeft besteld kun je onder de GDPR niet meer rechtvaardigen.

In het geval van live systemen (de gebruikte database van de ondernemer) is het waarschijnlijk betrekkelijk eenvoudig dergelijke oude data te verwijderen. Maar wat doen we met lauwe of koude data (archieven) en wat doen we met de daily back-ups. Back-ups en archivering is dankzij de cloud heel erg makkelijk, betrouwbaar en goedkoop geworden. Het zijn diensten die vanwege het pareren van cybercrime ook volop in de belangstelling staan. Diensten die menig provider zijn klant aanbiedt en dat zal na mei 2018 niet veel anders zijn.

Wat er echter wel moet gebeuren is dat opdrachtgever en uitvoerder annex bewerker (ja een hoster, provider en zelfs datacenter kan een bewerker zijn!) met de klant om tafel moet gaan zitten. De vraag wat er na 2018 nog gaat worden opgeslagen is belangrijk. Minstens zo belangrijk is wat er dient te gebeuren met oude data. iX schrijft over een spagaat en complexe situatie (“praktisch kaum umsetzbar”. Dat is het ook. Een ex-klant kan van zijn leverancier eisen dat alle data over hem wordt verwijderd. Die vraag zal vanzelf terechtkomen bij de partij of persoon die de back-up -en archiveringsdiensten heeft ingeregeld. Alleen al vanwege de sluitende werkafspraken over de omgang met back-ups, en archivering onder de GDPR is dit een onderwerp waar de sector echt bij stil moet staan.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen