Hoe zat het ook al weer met back-ups, de AVG, CDs en DVDs?

Toen de contouren van de AVG/ GDPR duidelijk werden moet er in alle HQ’s van back-up hardware en software een zucht van verlichting zijn geslagen. De verordening zou immers ook betrekking hebben op reeds opgeslagen data. Om aan die eisen te kunnen voldoen waren updates of nieuwe versies nodig. Goed nieuws dus. Een aantal details van de regels in kwestie zijn ondertussen bij de meesten bekend, maar hoe gaan we daarmee in de praktijk om?

Het doel van een back-up is duidelijk. Het biedt in de eerste plaatse de mogelijkheid data op een willekeurig moment te kunnen herstellen. Waarom dat nodig kan zijn en of een image of snapshot gelijk is aan een back-up zijn daarbij details. De mogelijkheid de terug te grijpen op een volledig dataset die elders staat dan de productieset is key. Dat het back-up proces door zowel de klant als de aanbieder kan worden gestart is een punt waar al vaker gedoe over is geweest. Onduidelijkheid daarover en het tegenvallende resultaat heeft meer dan eens voor rechtszaken in Nederland geleid. Binnen de context van de AVG is daar verder weinig aan toe te voegen, behalve dan dat als een MSP zoiets regelt, onderhoudt en test een bewerkersovereenkomst wel voor de hand ligt.

Waar het pas echt spannend wordt is bij de RTBF bepaling,  het Right To Be Forgotten. Klantdata moet op verzoek van klanten worden gewist. Dat wil zeggen: overal waar die data staat opgeslagen en tot zover de wetgever (denk aan de fiscus) daar geen andere mening over heeft. Het wissen van een record of het legen van een paar velden in een live database mag geen probleem zijn. Maar vervolgens moet dat ook bij elke back-up – ook de sets die koudedata worden genoemd – gebeuren. Daarom zijn de back-up leveranciers best wel blij met de AVG, ze hebben de gangbare hard- en software daarop moeten aanpassen. In principes zou daarmee elke ondernemer en IT dienstverlener (MSP of reguliere provider, hoster) aan de RTBF regels kunnen voldoen.

Er is echter een olifant in de kamer, die door opvallend weinigen wordt gezien of benoemd. Hoe vaak is in het verleden een back-up gemaakt op een writable, in plaats van een rewritable medium. En wat daarbij ook hoort is de vraag of van alle ouder dragers en hardware nog wel software leverbaar is die deze AVG bepaling mogelijk maakt. Het antwoord op die vragen is niet makkelijk te geven, omdat er zoveel variaties mogelijk zijn.

Een simpel voorbeeld dat recent met een hoster werd besproken was de eigen klantdata. De eerste back-ups daarvan waren CD’s en later DVD’s. Beiden eenmalig schrijfbaar en ze waren nog steeds voorhanden. Uiteraard veilig opgeborgen, maar daar staat wel data op die de ondernemer in problemen kan brengen. Deze hoster ging er van uit dat ze dat probleem konden omzeilen door de inhoud van de zilveren schijfjes over te zetten naar een moderner medium. Daarmee zou ook het benaderen en desgewenst aanpassen van de data weer mogelijk worden. Na deze back-up en archief migratie zouden de schijfjes worden vernietigd, want dat hoort zo.

Om aan de AVG eisen voor back-ups te kunnen voldoen gaat daar dus de bezem gehaald worden door de archieven. Onbruikbare, non AVG compliant dragers, worden uitgefaseerd en wat overblijft is een overzichtelijker archief. En dan de vraag: herkennen de lezers van ISP Today die situatie en hebben zij hetzelfde op de agenda staan?

 

Foto van Payam81 CC BY-SA 3.0 via de wiki

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen