Vraag: Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bijvoorbeeld voor de Belastingdienst). Tevens heb ik natuurlijk back-ups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

Antwoord: De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer "noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt". Oftewel als je ze niet meer nodig hebt.

Bij een back-up is dit een lastige. Het is inderdaad een hele berg werk om in een back-up van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens "wissen hoeft niet als dat veel werk is". En vanuit privacyoogpunt is "dan moet je je back-upstrategie maar anders inrichten" een goed verdedigbaar standpunt. Maar een lastige blijft het.

Alles bij de bron; Security