Column


IT-jurist Peter van Schelven over...

Data: weg is weg?

Organisaties die de verwerking van persoonsgegevens uitbesteden aan een andere partij zijn sinds de komst van de Wet bescherming persoonsgegevens (Wbp) in september 2001 verplicht onderling een zogeheten bewerkersovereenkomst te sluiten. Velen lapten die verplichting jarenlang aan hun laars. De introductie van de meldplicht datalekken heeft het maken van bewerkersafspraken echter een forse impuls gegeven.

Een groot deel van de bedrijven en organisaties is inmiddels druk in de weer met het afsluiten van bewerkerscontracten. Een werkgelegenheidsproject voor veel juristen en consultants. De afspraken in zo’n contract beogen de zorgvuldige omgang met persoonsgegevens door degene aan wie wordt uitbesteed – een hostingbedrijf, een salarisverwerkingsbureau, een cloudprovider, en dergelijke – te bevorderen. Ik heb echter soms zo mijn twijfels over het nut en de zin van deze exercities.

Wissen en vernietigen
Een voorbeeldje. In vrijwel alle bewerkerscontracten zijn afspraken opgenomen over de vraag wat er met de opgeslagen data dient te gebeuren nadat de dienstverlening van – zeg – de ingeschakelde hostingpartij is geëindigd. Veelal wordt bedongen dat de dienstverlener – in juridische jargon: de bewerker – alle tot zijn beschikking staande data aan zijn opdrachtgever retourneert of alle data vernietigt of wist. Het idee erachter is uiteraard dat niet langer dan nodig persoonsgegevens bij de bewerker achterblijven. Dat is een onderdeel van security: daar waar geen data meer zijn, kan ook geen ongeautoriseerde toegang tot de desbetreffende data worden verkregen, zo is de gedachte.

Zo op het eerste gezicht is dat een vanzelfsprekendheid; niemand kan echt tegen die gedachte zijn. Maar wie stilstaat bij de uitvoerbaarheid van een wis- of vernietigingsplicht loopt veelal tegen grote praktische problemen aan. Want wat is wissen en vernietigen van alle data nou precies? Ik durf de stelling wel aan dat het gros van de bewerkers de facto niet in staat is alle in hun IT-omgeving opgeslagen data te wissen of te vernietigen.

Wie bijvoorbeeld persoonsgegevens definitief en onherstelbaar uit een productieve IT-omgeving sloopt, heeft daarmee nog niet ook alle back-ups over een periode van jaren vernietigd. Het aanpakken van de schijven met back-ups stuit veelal weer op het bezwaar dat daarop ook data van andere opdrachtgevers van de bewerker staan, die wel bewaard moeten blijven. Wil je in een bewerkerscontract tot effectieve afspraken over de wis- en vernietigingsplicht van de bewerker komen, dan ontkom je er niet aan om het back-upbeleid van de bewerker erin te betrekken.

Media Sanitization
Maar dan nog? Wat moet een bewerker technisch precies doen om data eens en voor altijd niet-reconstrueerbaar van dragers en uit machines te krijgen? Wie bij uiterst gevoelige data (bijvoorbeeld staatsgeheimen) zekerheid wenst, moet wellicht de zwaarste vorm van vernietiging van zelfs de betrokken gegevensdragers overwegen. Voor de uitvoering daarvan kan aanknoping worden gevonden bij een internationale standaard, afkomstig van het Duitse normalisatie-instituut DIN. Deze norm – bekend als DIN 66399 – definieert drie beveiligingsklassen, zes materiaalclassificaties (typen gegevensdragers) en zeven niveaus van beveiliging. Aan de hand van een complexe matrix kunnen de gerelateerde vernietigingsstappen voor dragers worden bepaald.

In heel veel gevallen is vernietiging van gegevensdragers echter geen haalbare of reële optie. Hoe kom je dan tot een verantwoorde aanpak? Ik ben in dit verband een grote fan van een document dat is ontwikkeld door de NIST, het Amerikaanse National Institute of Standard and Technology. In 2014 publiceerde dit instituut een 64 pagina’s dik stuk onder de titel ‘Guidelines for Media Sanitization’. Het document neemt je mee in alle beslispunten die spelen rondom het opschonen van datadragers. Lezing daarvan leert dat achter de simpele woorden ‘wissen en vernietigen van alle data’ een wereld apart schuil gaat. Het NIST-rapport schetst onder meer de diverse vormen van wissen, de daarbij te hanteren technieken, de vragen die spelen bij de verificatie van het wissen en de rollen van de betrokken personen. Waardevol is dat het rapport ook een set van minimale aanbevelingen voor ‘media sanitization’ presenteert.

Verplichte kost
Wie in een bewerkersovereenkomst een wis- of vernietigingsverplichting voor de betrokken bewerker opneemt, zonder daaraan verder concreet handen en voeten te geven, zet de deur open voor discussies en geschillen. Dat is met name bedenkelijk als deze verplichtingen versterkt worden met contractuele boetes ingeval de verplichting zou worden geschonden. De documenten van de DIN en de NIST zijn een steuntje in de rug om tot werkbare afspraken te komen. Verplichte kost dus voor eenieder die bewerkerscontracten maakt en beoordeelt.


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over