Welke data moet u bewaren en welke niet?

17/08/21

In vijf stappen naar een verantwoorde dataretentie

Recente datalekken laten zien dat organisaties persoonsgegevens veel langer bewaren dan eigenlijk nodig is. Dat komt vooral doordat organisaties vaak niet weten welke data ze hebben, waar die data oorspronkelijk voor verzameld zijn en waar ze moeten beginnen om de zogeheten dataretentie vorm te geven. Oftewel: hoe bewaart u data en wat zijn het bijbehorende beleid en de procedures?

In deze blog nemen PwC-experts Bram van Tiel en Job van Ommen u in vijf stappen mee naar een praktische dataretentiestrategie, waarmee u niet alleen uw risico vermindert op het hebben van te veel data, maar die u ook mogelijkheden geeft om meer waarde uit uw data te halen.

Stap 1: dataverwerkingen in kaart brengen

De Algemene verordening gegevensbescherming (AVG) is duidelijk: een bedrijf mag persoonsgegevens niet langer bewaren dan noodzakelijk voor de doeleinden van de verwerking. Om aan deze eis te voldoen is de eerste stap om te weten welke data uw organisatie heeft, voor welk verwerkingsdoel en waar deze data staan. De AVG verplicht u bovendien om de antwoorden op deze cruciale vragen vast te leggen in een verwerkingsregister. Is uw verwerkingsregister op orde, dan is dat een mooi startpunt voor uw retentiestrategie. Daarnaast kan het gebruiken van tooling, zoals eDiscovery-tools, u ondersteunen bij het inzichtelijk maken van uw data.

Stap 2: lappendeken aan retentietermijnen

De volgende stap is het bepalen hoe lang u de gegevens nodig hebt. Welke zakelijke, contractuele of wettelijke vereisten heeft uw organisatie die van invloed zijn op uw dataretentiebeleid? Hebt u echt de gegevens nodig van een klant die vier jaar geleden voor het laatst een bestelling heeft geplaatst? En zijn alle gegevens van die bestelling belangrijk of alleen de fiscale details?

Werkt u in een internationaal opererende organisatie, dan hebt u ook te maken met dataretentietermijnen in verschillende landen. Het centraal managen van de juiste retentietermijnen kan praktisch ondoenlijk lijken. De eerste stap is om per land de retentietermijnen in kaart te brengen. Afhankelijk van de technische mogelijkheden, kunt u bepalen wat vervolgens de juiste dataretentiestrategie is voor systemen die internationaal gebruikt worden.

Stap 3: uw dataretentiestrategie vaststellen

Hebt u vastgesteld hoe lang de gegevens bewaard mogen worden, dan volgt de toets op technische haalbaarheid. U ontkomt er niet aan om per systeem of database vast te stellen wat de technische mogelijkheden zijn om te verwijderen. Staan uw data in de cloud of hebt u ze in eigen beheer ('on premise')? Zijn de data gestructureerd opgeslagen of gaat het om ongestructureerde data?

Deze vragen zijn van belang bij het bepalen van de juiste strategie. Bij verwijderen moet u daarbij niet alleen denken aan het onomkeerbaar vernietigen van persoonsgegevens uit het systeem. Ook andere technieken of combinaties van technieken kunt u toepassen, afhankelijk van het risico en de gevoeligheid van de gegevens. Denk aan het anonimiseren van gegevens.

Stap 4: technische implementatie van uw strategie

Als u uw dataretentiestrategie hebt vastgesteld, is de volgende stap deze te implementeren in uw systeem. U kunt daarbij tegen technische en praktische moeilijkheden aanlopen. Denk aan een personeelsdossier waarbij per land en per datacategorie verschillende bewaartermijnen kunnen gelden, terwijl de persoonsgegevens in één systeem staan. Ook zijn de IT-infrastructuur en datastromen vaak complex door de onderling verbondenheid en een complexe omgeving waarin de data worden verwerkt.

Hoe zorgt u er dan voor dat data ook worden verwijderd uit andere systemen of datasets waar de data naartoe zijn geëxporteerd? Zijn deze vragen beantwoord, dan is de laatste stap het inrichten van het proces om uw dataretentiestrategie te kunnen uitvoeren.

Stap 5: is de verwijdering effectief geweest?

Na het inrichten van uw dataretentiestrategie is het belangrijk vast te stellen of de  persoonsgegevens daadwerkelijk uit het systeem worden verwijderd bij het verlopen van de bewaartermijn of een verzoek van een betrokkene.

Uitrollen van uw dataretentiestrategie

Twee elementen zijn essentieel voor het slagen van uw dataretentiestrategie.

Ten eerste moet u de omvang van een dergelijk project niet onderschatten. U hebt een gedegen projectorganisatie nodig om uw dataretentiestrategie succesvol uit te rollen.

Ten tweede kiest u bewust voor uw startpunt in uw dataretentiestrategie. Welke set van data is geschikt om vanuit te starten? Van daaruit rolt u uw dataretentiestrategie verder uit. Bij elke stap moet er een toets plaatsvinden op haalbaarheid, risico’s en kosten. Daarmee verkleint u het risico dat u een dataretentie strategie gaat toepassen die niet passend is.

Start zorgvuldig, zorg voor draagvlak, en voorkom dat u opnieuw moet beginnen.

Onze adviezen voor de grootste uitdagingen van Nederland

De Covid-19-crisis heeft de rol van en de waardering voor de overheid vergroot. Dit lijkt een versterking van de trend die voor corona al is ingezet. Volgens ons moet de overheid dit momentum aangrijpen om grote maatschappelijke issues aan te pakken.

Lees meer >

Contact

Bram van Tiel

Bram van Tiel

Partner Cybersecurity & Dataprivacy, PwC Netherlands

Tel: +31 (0)62 243 29 62

Job van Ommen

Job van Ommen

Director, PwC Netherlands

Tel: +31 (0)64 201 78 55

Volg ons