Dataretentie is de verzameling van processen die er voor zorgen dat data bewaard blijft op een vooraf afgesproken manier en periode. Dat niet alle data op dezelfde manier moet worden behandeld, en dus bewaard, is mede door de AVG ingegeven. De fiscus stelt echter weer andere eisen. Data die niet meer bewaard hoeft of mag worden moet op een goede manier worden vernietigd.
ITchannelPRO over het wissen van data
In het nieuwe nummer van ITchannelPRO staan interviews met bedrijven die zorgen voor het deskundig wissen van data. Deze bedrijven krijgen complete computers, servers en dergelijke met harde schijven. Die datadragers worden op een professionele manier gewist. Daarmee is de data op een gecontroleerde wijze vernietigd. De hardware kan dan vervolgens worden hergebruikt en doorverkocht.
Voor veel ondernemers is het professioneel (laten) wissen van een harde schijf nog steeds iets waarover te weinig wordt nagedacht. Het is zo makkelijk de computer aan een familielid te geven. Als de harde schijf is geformatteerd of er een nieuwe OS is geïnstalleerd denkt men de een goede wijze de data te hebben vernietigd. Dat is helaas niet het geval. Met een snelle controle kan men dat trouwens zelf ook vaststellen, maar bijna niemand doet dat.
Dataretentie
Bij dataretentie speelt iets vergelijkbaars. Bij grotere ondernemingen met eigen compliance specialisten of alerte juristen speelt het overigens minder. Die kennen de regels en risico’s. Alle andere ondernemers gaan hier wel eens de fout in.
Dat komt vooral omdat men het idee heeft dat “alle” data ooit nog eens van pas kan komen. De bepaling van de AVG data niet langer te bewaren dan strikt noodzakelijk is niet gekend of wordt bewust genegeerd. Data die op creatieve wijze is verkregen (mailbestanden zijn daar een berucht voorbeeld van) wordt bewaard in de hoop die nog eens te kunnen gebruiken.
Aangezien de meeste datasets een beperkte omvang hebben is er geen praktische noodzaak daar vaker met de bezem doorheen te gaan. Ook daarom is zo vaak sprake van het feitelijk ontbreken van beleid voor data en dataretentie. Men controleert niet wie wat bewaart en hoe het wordt bewaard. Dat komt dan weer omdat er niemand is dat als dedicated taak heeft.
De overeenkomst
Daarom is het zaak na te denken over dataretentie. De reden daarvoor is erg simpel. Wie een procedure heeft kan laten zien in control te zijn. Dat is net als wie zijn harde schijven door een professioneel bedrijf laat wissen. Wie in control is voorkomt eerde dat een klein incident grote gevolgen heeft. Trefwoorden: datalekken en de AVG.