Privacy - Wat niemand over je mag weten

Verwijdering loggegevens uit back-ups

11-04-2017, 12:52 door GRH, 5 reacties
Klanten kunnen zelf aangegeven hoelang loggegevens bewaard mogen worden. Daar moeten wij als bedrijf aan voldoen en op die manier ook inrichten om de loggegevens tijdig te verwijderen. Is het in dat geval ook verplicht om alle loggegevens van de klant te verwijderen uit de back-ups?
Reacties (5)
11-04-2017, 12:59 door Anoniem
Als jij je klanten de illusie geeft en daar bij ook zegt, dat de data verwijderd is. Ja dan ook uit de backup.
11-04-2017, 13:03 door Anoniem
Als je hebt afgesproken dat logbestanden ouder dan X dagen worden verwijderd.....zal je je daar ook aan moeten houden ja. Je kan moeilijk aankloppen bij een klant (na bijv een lek) dat loggegevens van 3 jaar oud zijn gecompromitteerd terwijl ze maar 30 dagen bewaard mogen worden (p.s. dit was uiteraard een voorbeeld).

Afhankelijk van de dienst zou ik als bedrijf zijnde proberen een standaard te hanteren voor alle klanten.

Anders zal je denk ik moeten gaan stoeien met verschillende backup-jobs (exclude van loggegevens in de algemene job, en dan per klant misschien een job maken?)
11-04-2017, 13:04 door [Account Verwijderd]
Dat lijkt me wel. Een backup is bewaren. De backups moeten dan ingesteld worden met die uiterste bewaartijd en daarna vernietigd.
Beetje zinloos van die regels als je logfiles wist en dan een jaar later een backup terug haalt :)
11-04-2017, 13:39 door PietdeVries
Binnenkort zullen we daar allemaal aan moeten geloven. Klanten onder GDPR mogen eisen dat hun gegevens worden verwijderd van alle systemen waar ze op staan - en de boetes zijn niet mals (20 miljoen of 4% van de wereldwijde jaaromzet - welke het hoogst is). Je hebt tot 25 mei volgend jaar om 't te implementeren.

Wordt pas echt pret op het moment dat een IP adres gezien wordt als persoonsgegeven. Dan moet jij dus vooraf vragen aan een persoon of je zijn IP adres mag loggen. En als die 'nee' zegt moet je al zijn gegevens wissen.
11-04-2017, 14:15 door GRH
Door PietdeVries: Binnenkort zullen we daar allemaal aan moeten geloven. Klanten onder GDPR mogen eisen dat hun gegevens worden verwijderd van alle systemen waar ze op staan - en de boetes zijn niet mals (20 miljoen of 4% van de wereldwijde jaaromzet - welke het hoogst is). Je hebt tot 25 mei volgend jaar om 't te implementeren.

Wordt pas echt pret op het moment dat een IP adres gezien wordt als persoonsgegeven. Dan moet jij dus vooraf vragen aan een persoon of je zijn IP adres mag loggen. En als die 'nee' zegt moet je al zijn gegevens wissen.

Ik begreep dat een IP-adres niet altijd een persoongegeven is. Wanneer het niet aan een beperkte groep personen kan worden gekoppeld, is het geen persoongegeven. Wanneer het om vaste IP-adressen gaat, particulieren, dan zijn het vaak wel persoonsgegevens. Het is wel zo dat wanneer er binnen een groep IP-adressen, relevante IP-adressen zijn die kunnen verwijzen naar een bepaald persoon, dat alle IP-adressen binnen die groep ook als zodanig behandeld moeten worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.