Privacy data wissen in het GDPR tijdperk


GDPR

Het wissen van privacy gevoelige gegevens, het zogenaamde “vergeet me recht” is een van de cruciale onderdelen van de Algemene Verordening Gegevensbescherming (GDPR). Vrijwel geen enkel ander onderdeel is door IT-ers zoveel besproken en heeft zoveel hoofdbrekens opgeleverd als dit artikel. De GDPR is nu bijna een jaar van kracht en organisaties moeten zo onder de hand voldoen aan de primaire privacy verantwoordelijkheden die ze hebben tegenover hun relaties en klanten. Het recht om vergeten te worden is er daar een van.

Vele medewerkers houden zich bezig met de compliance aan de GDPR, omdat het een ongelooflijk lang en ingewikkeld document is. Maar ook omdat de boetes zo enorm hoog kunnen zijn. Geen enkele beslissing, actie of ontwikkeling kan echter de naleving van de verordening garanderen. De GDPR heeft betrekking op alle gegevensverzamelingen, gegevensdeling en gegevensvernietiging.

Vergeet het wissen niet

Iedere organisatie moet de nodige voorzorgsmaatregelen treffen om ervoor te zorgen dat zij hun gegevens legaal en met toestemming verzamelen. Bovendien moeten ze het veilig en privé opslaan en alle rechten van de eigenaar van de gegevens (personen waar de informatie over gaat)  respecteren.

Als onderdeel van het respecteren van de rechten van data-eigenaren, moeten we hen ook de mogelijkheid bieden om alle informatie volledig te wissen uit onze bestanden. Dit wordt aangeduid als het “recht om te worden vergeten” of het recht om te wissen. Zodra een verzoek binnenkomt, worden de essentiële opgeslagen gegevens geëlimineerd en wordt verdere verzameling gestopt. Het negeren van deze verzoeken zal niet alleen de klant- en zakelijke relaties schaden, het kan ook resulteren in hoge boetes.

GDPR-compliance lijkt eenvoudig genoeg, maar het gaat verder dan alleen zorgen dat de gegevens worden gewist van een harde schijf.

Hoe zorgen we ervoor dat het wissen van gegevens aan de GDPR voldoet?

Zoals uiteengezet in de GDPR, wordt gegevensvernietiging – aangeduid als het elimineren of wissen van digitale inhoud – geclassificeerd als een vorm van gegevensverwerking. Dat betekent dat eventuele vernietigingsprocedures de specifieke regels van de verordening moeten volgen. Hier zijn drie stappen die moeten worden gevolgd:

1. Biedt gebruikers de mogelijkheid om het wissen aan te vragen

Stap één is duidelijk om de juiste besturingselementen te implementeren waarmee eigenaars van gegevens over de volledige rechten en machtigingen voor de betreffende inhoud kunnen beschikken. Bedrijven moeten gebruikers een optie bieden om alle persoonlijke gegevens te verwijderen, inclusief verkoop- of browsegeschiedenis. Het moet absoluut een praktische optie zijn die de stroom van nieuwe inhoud voortbrengt en het oude zo snel mogelijk elimineert.

2. Inhoud veilig wissen

Bedrijven zijn verplicht om ervoor te zorgen dat oude gegevens of inhoud veilig worden gewist. Alleen verwijderen met behulp van het besturingssysteem of de server is niet voldoende. Zelfs het opnieuw formatteren van oude schijven en magnetische media – inclusief harde schijven – is ook geen garantie. Als de fysieke media nog beschikbaar zijn, zijn verwijderde gegevens vaak nog te herstellen.

3. Grondige vernietiging

Het is belangrijk om de betreffende hardware op de juiste manier te wissen – niet alleen de digitale vorm van inhoud. We moeten een permanente wisoplossingen gebruiken, zoals technieken waarmee we magnetische tapes door speciale apparateur onleesbaar of onbruikbaar kunnen maken. Fysieke media kunnen we versnipperen, pletten of verbranden om volledige naleving te garanderen.

Als we deze opties serieus navolgen kan een simpel wisverzoek ons nog aardig op kosten jagen.

Hoe zit het met cloud- en virtuele opslag?

Opgeslagen gegevens op fysieke media zijn een grote zorg, maar laten we vooral niet vergeten dat veel oplossingen gebruik maken van cloud. Remote storage, SAN en NAS oplossingen en virtuele drives vallen ook onder het wisrecht. Zulke complexe ICT apparatuur moeten we ook saneren als onderdeel van het recht op wissen. Het liefst zonder al te grote kapitaalvernietiging.

Gelukkig hebben veel externe serviceproviders gevirtualiseerde infrastructuurbesturingselementen geïmplementeerd we de opslag gepartitioneerd kunnen wissen. Een derde van de cloudgebruikers laat de vernietiging van gegevens in de cloud over aan hun provider. Na het wissen kunnen er resterende gegevens zijn die achterblijven. Daarom is het dus belangrijk om het ​​serviceprovidercontract na te kijken om vast te stellen hoe de provider omgaat met gegevensvernietiging.

Ervan uitgaande dat we de gegevens adequaat kunnen wissen, gaat de zorg over het verwijderen van de blokken content in kwestie, terwijl alle andere content intact moet blijven. Als een klant bijvoorbeeld zijn managed service-contract beëindigt, moet de provider de resulterende data wissen. Wat het echt lastig maakt, is wanneer die gegevens zijn gekoppeld met andere systemen, klanten of werkprocessen. Dit vraagt ​​om een speciale ​​manier om gevoelige content te verwijderen, zonder de aangesloten systemen te beïnvloeden.

Gevolg is dat het wissen van cloud en virtueel storage traditionele ontwerptechnieken vereist die we in een infrastructuur kunnen inbakken. Dit gaat verder dan de eenvoudige functie concept “opmaken en wissen”. Bedrijven moeten overwegen hoe ze aan deze eisen het kunnen voldoen zonder andere digitale gegevens te beschadigen.

Compliance is geen keuze – het is een vereiste

Eigenlijk maakt het niet echt uit of een bedrijf aan de regelgeving wil voldoen of niet. Een inbreuk op de regelgeving heeft financiële en juridische gevolgen, dat is inmiddels wel duidelijk. De GDPR is dus iets waar ieder bedrijf zich aan moeten houden, inclusief gegevensvernietiging, wat een belangrijk onderdeel is.

Relaties moeten de controle hebben over hun gevoelige gegevens met inbegrip van het wissen. De naleving moet snel, zo niet onmiddellijk zijn. Alle bestaande gegevens – virtueel of in de cloud – moeten correct te wissen zijn wanneer er een verzoek voor komt.

Bovendien moeten fysieke media na gebruik op de juiste manier worden weggegooid. Dit vereist sloopwerk zoals demagnetiseren of vernietigen. Als we niet voorzien in dergelijke procedures zal dat tot consequenties leiden die een bedrijf ernstig kunnen verlammen.

Steeds vaker zetten technologieën en software in om gegevens van relaties mee te verzamelen. Let er op dat je bedrijf zich blijft houden aan de richtlijnen van de GDPR.

LinkedIn Group

Discussieer mee op LinkedIn.

Samenvatting
Privacy data wissen in het GDPR tijdperk
Artikel
Privacy data wissen in het GDPR tijdperk
Beschrijving
Het wissen van privacy gevoelige gegevens, het zogenaamde “vergeet me recht” is een van de cruciale onderdelen van de Algemene Verordening Gegevensbescherming (GDPR). Vrijwel geen enkel ander onderdeel is door IT-ers zoveel besproken en heeft zoveel hoofdbrekens opgeleverd als dit artikel.
Auteur
Publisher Naam
ITpedia
Publisher Logo
Sidebar