Achtergrond

Juridische vraag: wanneer kan ik persoonsgegevens wissen?

woensdag 30 oktober 2013, 11:09 door Arnoud Engelfriet, 12 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bijvoorbeeld financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk back-ups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

Antwoord: De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer "noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt". Oftewel als je ze niet meer nodig hebt.

Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel "leveren bestelling" zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.

Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.

De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart. Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.

In de praktijk moet je dus eigenlijk per document bepalen "waarom staan hier nog persoonsgegevens in" en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bijvoorbeeld de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.

Bij een back-up is dit een lastige. Het is inderdaad een hele berg werk om in een back-up van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens "wissen hoeft niet als dat veel werk is". En vanuit privacyoogpunt is "dan moet je je back-upstrategie maar anders inrichten" een goed verdedigbaar standpunt. Maar een lastige blijft het.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Security Tip van de Week: Vertrouw op je eigen kunnen, maar laat je systemen controleren

Anonieme VPN aanbieden: de aansprakelijkheid (deel 3)

Reacties (12)

30-10-2013, 11:15 door Anoniem

En zo zien we maar weer dat de belastingdienst de grootste privacyhater is in Nederland.

Die termijn van zeven jaar heb ik altijd curieus gevonden. Een testament aan hoe langzaam de prutsers daar wel niet zijn. Want kijk maar, het staat zelfs in de wet.

30-10-2013, 11:41 door Whacko

Voor de meeste webwinkels MOET je echter vaak een account aanmaken alvorens je kunt bestellen. Dit is voor de gebruiker ook handig zodat deze de volgende keer niet alle gegevens hoeft in te vullen. Betekent dit dat deze gegevens dus onder het mom van dienstverlening richting de klant alsnog onbeperkt bewaard mogen / dienen te worden?
Of dienen de gegevens automatisch geanonimiseerd / verwijderd te worden indien de klant binnen 7 jaar niet is teruggekomen?

30-10-2013, 11:49 door Arnoud Engelfriet

Onbeperkt bewaren is eigenlijk nooit nodig. Niemand is levenslang klant. Ik zou zeggen dat er een houdbaarheidsdatum moet zitten op zulke klantaccounts. Mijn dikke duim zegt me een jaar, maximaal twee. Daarna gaat het account weg. Eventueel met waarschuwingen dat je dat gaat doen.

30-10-2013, 15:06 door Anoniem

is er überhaupt wel een werkbare backupstrategie te bedenken die verder gaat als enkel disaster-recovery en compatible is met wbp?

30-10-2013, 22:30 door Anoniem

Door Anoniem: is er überhaupt wel een werkbare backupstrategie te bedenken die verder gaat als enkel disaster-recovery en compatible is met wbp?

Lijkt me niet.
Maar er is zowizo al een enorme discrepantie tussen wat er wettelijk vereist is en wat er door IT'ers gebouwd wordt. Vaak
moet je tijdens de implementatie nog allerlei hacks doen om het gammele systeem een beetje compliant te maken.
Bijvoorbeeld voor de belastingdienst moet je een factuur kunnen produceren die gelijk is aan het origineel. In feite is het
zo dat als je het origineel op papier verzonden hebt, je ook een kopie op papier moet hebben. Je kunt denken "ik klets
me er wel onderuit want het systeem kan een kopie factuur uitdraaien indien gevraagd" maar de implementatie daarvan
deugt vaak voor geen meter. Heel wat systemen slaan een gemaakte factuur niet in zijn geheel op, maar gaan als je
kopie factuur vraagt deze gewoon opnieuw samenstellen uit de gegevens in de database. Artikelnummer en aantal
zijn opgeslagen, omschrijving wordt erbij gezocht. Klantnummer is opgeslagen, naam en adres worden erbij gezocht. Etc.
M.a.w. als er tussen factuurproductie en kopiefactuur veranderingen zijn aangebracht in deze gegevens dan lijkt de kopie
niet op het origineel.
Je bent dan haast wel verplicht om al je facturen te printen naar PDF, deze PDF te printen en te versturen en dan
de PDF te archiveren voor geval van navraag kopie. Dat zou een automatiseerder zich zelf moeten bedenken, maar
veel doen dat niet. Ach dat geeft weer ruimte voor een extra product voor documentarchivering natuurlijk...
En zo is het ook met persoonsgegevens. Je mag de gegevens niet langer bewaren dan nodig, maar aan voorzieningen
om dit te regelen is helemaal niks gedaan. Je kunt records vaak niet zomaar deleten wegens constraints in de database
(referentiele integriteit) dus dan moet je zeker zelf maar alle namen overschrijven met XXX?
Zelfs in een systeem wat we draaien wat helemaal gericht is op de verwerking van persoonsgegevens was een module
om dossiers een aantal jaren inactiviteit te verwijderen nog een optie die we als maatwerk moesten laten bouwen.
Dus over een webwinkel zullen we het maar helemaal niet hebben dan...

31-10-2013, 09:22 door Anoniem

Wanneer moet u welke documenten vernietigen?
Voor documenten waarin persoonsgegevens staan, geldt een verjaringstermijn. Dat betekent dat u ze na een bepaalde periode moet vernietigen. Dit is vastgelegd in de de Wet bescherming persoonsgegevens.

Persoonsgegevens
Termijn

Persoonsgegevens in het algemeen
uiterlijk na twee jaar

Sollicitanten
wanneer de sollicitant daarom vraagt, maar uiterlijk 4 weken na beëindiging van de sollicitatieprocedure

Uitzendkrachten
uiterlijk 2 jaar na beëindiging van het dienstverband

Personeelsadministratie
uiterlijk 2 jaar na beëindiging van het dienstverband

Salarisadministratie
uiterlijk 2 jaar na beëindiging van het dienstverband

Debiteuren en crediteuren
uiterlijk 2 jaar nadat de laatste rekening is voldaan

Klanten en leveranciers
uiterlijk 2 jaar nadat de laatste transactie is afgehandeld

Klanten van advocaten en accountants
uiterlijk 2 jaar nadat de behandeling van een zaak is stop gezet

Bron: Nederlands Normalisatie Instituut (NEN) en ECP.NL (2007)

31-10-2013, 13:59 door Anoniem

Leuk die 'voorgeschreven' 2 jaarstermijnen. Maar in de praktijk is dit natuurlijk onzinnig en praktisch onuitvoerbaar! Je kunt niet uit iedere gearchiveerde backup telkens de >2jr oude data selectief verwijderen. Nog afgezien van de database integriteitsproblemen die dit gaat geven.
En vrijwel al die regeltjes conflicteren met de BEWAARtermijn die de fiscus je oplegt!

04-11-2013, 13:53 door N4ppy

Door Arnoud Engelfriet: Onbeperkt bewaren is eigenlijk nooit nodig. Niemand is levenslang klant. Ik zou zeggen dat er een houdbaarheidsdatum moet zitten op zulke klantaccounts. Mijn dikke duim zegt me een jaar, maximaal twee. Daarna gaat het account weg. Eventueel met waarschuwingen dat je dat gaat doen.

Maar aan die klant hangen de facturen en dan zit ik over 7 jaar met allemaal niet bestaande accounts waar ik facturen naar toe heb gestuurd?

04-11-2013, 15:14 door Anoniem

Nu lees ik dat webshops alle gegevens moeten verwijderen na aflevering van de bestelling.

Wel eens naar de bestelhistorie van bol.com gekeken? die gooien helemaal niets weg.
Zag onlangs dat er zelfs bestellingen van 2001 nog in mijn overzicht stonden, incl. alle info van aflevering, kosten, enz.

Zelf nu als ex-klant gevraagd mij uit te schrijven en account weg te gooien, met nadrukkelijk het verzoek alle gegevens te verwijderen en dat ik geen toestemming meer geef voor gebruik van mijn gegevens. Echter krijg helemaal geen respons.

07-11-2013, 11:29 door Anoniem

Zijn (1) archivering, danwel (2) het kunnen assisteren bij invoeren van een nieuwe bestelling door een voormalige klant, of (3) het helpen van een klant om (na jaren) zijn bestel-historie te raadplegen, niet ook valide redenen voor het CBP om gegevens te bewaren?

07-11-2013, 11:33 door Anoniem

"De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart."
is het niet zo dat de Belastingdienst van een bedrijf zelfs eist dat zeven jaar de administratie in zijn geheel wordt bewaard? Dus niet alleen de financiele informatie?

13-11-2013, 15:22 door Anoniem

Ik vind dit een interessante discussie, waarbij de wet- en regelgeving verder gaat dan wat technologie redelijkerwijs mogelijk maakt.

Al eerder werd gesteld dat het verwijderen van een individueel bestand (of klant/prospect in een database) uit een back-up eigenlijk niet mogelijk is. Je moet dat doen voor elke klant/prospect als de retentietermijn verlopen is, dus je zou dagelijks al je back-ups moeten scannen en details ervan moeten verwijderen. Volgens mij kan dat technisch zelfs niet, of zou het ridicuul veel tijd en geld kosten.

Ik ken ook nog geen enkele applicatie (en wij gebruiken er best veel) waar standaard functionaliteit in zit om bijvoorbeeld alle gegevens van klanten x jaar na verlopen van het contract (of voor prospects x maanden na verlopen van de offerte) automatisch uit de database te verwijderen. Sterker nog, in veel relationele databases is dat niet eens mogelijk, omdat aan deze klant weer allerlei transacties zijn gekoppeld, etc. Je zou dan alleen kunnen anonymiseren, maar ook die functionaliteit heb ik nog niet in applicaties gezien.

De Europese regelgeving die ook in de maak is ('right to be forgotten', etc.) gaat nog veel verder.

Als applicaties zouden moeten voldoen aan al deze regelgeving, dan zou dat bedrijven in NL vele miljarden gaan kosten om alle applicaties te laten aanpassen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer