Data wissen en de AVG

Van de artikelen die over handhaving of negeren van de AVG gaan heeft slechts een klein deel betrekking op data die men had moeten wissen. Voorop in alle publicaties staan meldingen van te veel vergaring plus het verkeerd gebruiken daarvan, al dan niet na een lek. Weinigen lijken door te hebben dat data minimalisatie geen dode letter in de Verordening is.

Wissen en vernietigen

Wie van zijn data af wil heeft meerdere mogelijkheden. Het wissen van de bestanden is het makkelijkst en tegelijk het minst betrouwbaar. Een harde schijf zelf vernietigen of dat laten doen is meer werk, maar verkleind wel de kans op misbruik van data die niet meer voorhanden had mogen zijn.

Toch zijn de gevallen van datalekken (binnen de context van de AVG) waarbij in Nederland op een schijnbaar lege drager toch persoonsgegevens zijn aangetroffen zeldzaam. De meeste berichten daarover zijn alweer een paar jaar oud en hebben vooral betrekking op andere landen.

Te lang bewaren

Waar we ook nog weinig van merken is handhaving onder de AVG waarbij wordt opgetreden tegen bedrijven of instanties die data te lang bewaren, niet of verkeerd wissen. Er zijn in ieder geval in Denemarken twee zaken bekend waarbij dit een rol speelde. Het zou goed zijn als die in Nederland bekender werden. Zo kan bereikt worden dat ondernemers zich bewust zijn van de noodzaak tot data minimalisatie. Voor IT partijen moeten de beide Deense cases ook leerzaam zijn. Die sector hamert vooral op de mogelijkheid land data te bewaren en vergeet daarbij dat dit niet is toegestaan voor een groot deel van de data die elke ondernemer in de loop der jaren vergaard.

Deense cases

De eerste Deense case betrof een taxi platform. Dit bleek een database te hebben met 8,8 miljoen records waar alle mogelijke gegevens van passagiers, routes, betaalwijze en ook de rijders waren opgeslagen. Die ouderdom van de gegevens rechtvaardigde vernietiging. Het bedrijf bleek echter niet in staat (!) dat te kunnen doen. Geen onwil, geen datamining, maar zo te zien niet geïmplementeerd. Een boete van omgerekend €160.000 was het gevolg (bron).

Een Deens woonwarenhuis kreeg in het najaar van 2019 een boete van bijna €200.000 opgelegd nadat duidelijk was geworden dat de migratie naar een nieuw bestelsysteem niet helemaal goed was gegaan. Het bedrijf had alle klantdata naar het nieuwe systeem overgeheveld en dat goed beschermd. Het oude systeem was niet gewist en al evenmin onbereikbaar gemaakt. Daar stonden nog 385.00 records met NAW +T+E op (bron).

Conclusie

Bij het implementeren en het migreren van een CRM of order systeem moet gewoon meer duidelijk zijn dan het antwoord op de vraag welke data wordt opgeslagen. De vragen hoe lang dat gebeurt en hoe het echt wisen van de data gaat moeten beantwoord zijn als onderdeel van een AVG analyse. Dat voorkomt in principe een hoop ellende. Natuurlijk is en blijft de klant verantwoordelijk. Maar het siert de IT leverancier, of dat nu een system integrator of provider is, als hij de klant daar incidenteel op wijst.