Veelgestelde vragen over de AVG

Hieronder staan vier vragen die de afgelopen weken veel op ons zijn afgevuurd. Uiteraard staan we iedereen met plezier persoonlijk te woord, maar het geeft misschien wat helderheid om de vragen ook hier te beantwoorden.

1. Moet je alle data kunnen wissen?

Nee. Het is zelfs zo dat niet alle persoonsgebonden data verwijderbaar moeten zijn. Sowieso heeft het recht op vergetelheid in de AVG alleen betrekking op persoonsgebonden data, en dan nog geldt dat er mogelijk wetten zijn die zwaarder wegen dan het persoonlijke recht op vergetelheid. Denk aan medische dossiers: de wettelijke bewaarplicht is vijftien jaar na de laatste wijziging.

2. Hoe zit het met WORM-opslag en AVG?

WORM: Write Once Read Many. De AVG verlangt dat gegevens verwijderd kunnen worden, maar een WORM-opslag staat dat niet toe. Wij hebben er desondanks een oplossing voor. Onze WORM-systemen hebben de mogelijkheid een retentietijd per volume aan te geven om aan vereiste privacywetgeving te voldoen. Je geeft hiervoor van tevoren aan hoe lang gegevens bewaard blijven, voordat ze automatisch uit de database worden verwijderd. Hiermee worden gegevens conform de wettelijke voorschriften na verloop van een bepaalde tijd onbenaderbaar gemaakt – vergeten dus. De nieuwste versies bieden deze mogelijkheid nu per record zodat de retentietijd individueel ingesteld kan worden. Overigens: als er al persoonlijke gegevens zonder bewaarplicht op een WORM-opslag staan, is het feitelijk verkeerd gebruikt. Gegevens die geen bewaarplicht hebben, horen niet thuis op een medium dat juist is gemaakt om aan de bewaarplicht te voldoen.

3. Hebben we het tot nu toe goed gedaan?

Veel klanten geven aan dat ze een veilige opslag hebben, waarvan ze kunnen wissen. En de gegevens worden netjes bewaard. Maar de AVG zegt dat je bij opslag rekening moet houden met de stand van de techniek in samenhang met de context van de gegevens. De techniek moet stabiel genoeg zijn om ervoor te zorgen dat gegevens beschikbaar en beschermd zijn. Dus geen oud opslagsysteem nemen en denken: dat is goed genoeg.

4. Hoe zit het met de bewijsplicht?

De AVG draait de bewijsplicht om. Dus degene die persoonlijke gegevens heeft opgeslagen, moet kunnen aantonen dat deze data conform de wet zijn opgeslagen, geregistreerd en desgewenst zijn gewist. Dat vraagt bijvoorbeeld om een logboek dat deze zaken bijhoudt.

Andere vragen? Stel ze gerust, we zijn u graag van dienst!