Is backup wel GDPR proof?
De druk lijkt van de ketel voor de invoer van de algemene gegevensbeschermingsverordening (GDPR). Deze complexe wet lijkt, in sommige elementen, elkaar en andere wetten tegen te spreken. Een van die tegenstellingen is misschien wel het meest beruchte aspect van de GDPR: het recht op wissen (ook bekend als het 'recht om te worden vergeten').
Met dit als uitgangspunt is het interessant te onderzoeken welke impact dit heeft op de dataprotectie omgeving. De wet impliceert dat persoonlijk identificeerbare gegevens en het recht om te worden vergeten, ook geldt voor back-up van de gegevens van een persoon en dus op verzoek moeten worden verwijderd.
Tegenstrijdig is dan dat dezelfde wet eisen stelt aan een veilige en niet aanpasbare opslag en bescherming van actieve data, inclusief het archiveren en versleutelen van data.
Fabrikanten en verkopers maken zich zorgen over het recht op wissen omdat ze betrekking hebben op back-up en snapshot technologieën die ver voordat de wet is opgesteld zijn ontwikkeld. Back-up en snapshot software weet niet wat het veiligstelt en is (nog) niet ingericht om gemakkelijk of praktisch doorzoekbaar te zijn en laat staan acties toestaat om te worden gewist. Op het moment dat je back-up en snapshots – welke alleen leesbaar (Read only) horen te zijn – gaat bewerken, worden ze in feite onbruikbaar voor het doel om data te kunnen herstellen ingeval data verloren is gegaan, in het geval van (ver)storingen of data corruptie.
GDPR vervangt echter niet alle andere verantwoordelijkheden, bijvoorbeeld een klant kan een verzoek doen om te worden vergeten en voor een bedrijf om persoonlijke gegevens te verwijderen, maar sommige persoonlijke gegevens moeten mogelijk worden bewaard om de service te leveren of voor andere nalevingsvereisten Er zijn zelfs gevallen waarin een organisatie aanvragen kan weigeren.
Als de gegevens anoniem worden gemaakt, worden persoonlijke gegevens niet meer onder de bevoegdheid van de GDPR geplaatst. Hierdoor kunnen de geback-upte gegevens niet worden geïdentificeerd en kan het als anoniem worden beschouwd, waarna het recht om te wissen niet kan worden afgedwongen.
Ook valt persoonlijk gecreëerde data welke essentieel is voor de organisatie, vaak bestempeld als Intellectueel eigendom, binnen het recht om een aanvraag te weigeren. U dient vooraf te bepalen welke gegevens van essentieel belang zijn voor uw organisatie en waar, hoe en hoe lang deze opgeslagen dient te worden.
In deze organisatie worden essentiële gegevens vaak gebruikt voor informatie die strategische bedrijfsprocessen ondersteunt en inkomsten, boekhouding, logistiek, klantenservice en naleving van wet- en regelgeving omvatten.
In het algemeen dient er voor het bereiken van conformiteit aan de GDPR op het gebied van gegevensopslag en gegevensbescherming (back-up) de volgende technische vereisten ingericht te zijn.
- Controle van de data met betrekking tot de opslaglocatie van de persoonlijke data. Data dient lokaal op geslagen te worden en/of in een specifiek in de EU gevestigd datacenter.
- Persoonlijke data dienen, net zoals bedrijf essentiële data, encrypted (versleuteld) te zijn opgeslagen op de werkplek, Het encryptieproces dient volledig automatisch te zijn.
- U dient gedetailleerd te kunnen zoeken in back-ups, om de vereiste informatie voor het onderwerp of persoon van de data te vinden.
- U dient in staat te zijn persoonlijke data op verzoek van het onderwerp van de data te kopiëren, wijzigen en verwijderen.
- U dient in staat te zijn persoonlijke data in een algemeen en makkelijk te gebruiken formaat (bijv. ZIP-archieven) te exporteren.
- U dient in staat te zijn snel persoonlijke data te herstellen vanuit back-ups in het geval er sprake is van een (ver)storing in het opslagapparaat, de software, een operatorfout of een inbreuk op de beveiliging (bijv. een ransomware aanval).
GDPR of niet, het is belangrijk om ervoor te zorgen dat er strikte regels zijn om de toegang tot gegevens te regelen en de manier welke data, hoe, waar en hoelang opgeslagen moet worden vast te leggen. Controlelogboeken helpen bij het opsporen van mogelijke datalekken en nemen de nodige corrigerende maatregelen.
Historische back-up en archieven kunnen dus mogelijk in strijd zijn met GDPR-compliance. Veel organisaties migreren in de loop van de tijd back-up (en archieven), wat wordt gezien als 'goede praktijk' om ervoor te zorgen dat de informatie herstelbaar is.
Omdat een aanpassing van de huidige back-up inrichting vaak technisch onmogelijk is, als je gebruik moet blijven maken van dezelfde software die niet de technische vereisten biedt, en tijdsintensief is kan een werkbaar en kosteneffectief alternatief het inrichten van een totaal nieuwe oplossing zijn en de huidige omgeving af te koppelen en de veiligstelde data te laten verlopen.
Courante back-up oplossingen zijn die gebruik maken van nieuwe opslag en de-duplicatie technologieën, doorzoekbaar zijn, versleuteld lokale en netwerkdata (liefst op een uniek protocol en separaat netwerk) transporteert en opslaat en op basis van beleidsafspraken (policies) data bewaart, naar een archief verplaatst en automatisch verwijderd.
Als u momenteel tapeback-ups maakt, biedt GDPR een goede reden om naar een disk en/of cloud archief te gaan, omdat het zoeken naar specifieke gegevens die op tape zijn opgeslagen, indien nodig, zowel moeilijk als tijdrovend is. Omdat tape een lineair opnamesysteem is, is het niet goed voor willekeurige toegang.
Tot slot dient de inrichting aan de bron kant (waar de data wordt gecreëerd) geoptimaliseerd en gelabeld te worden om beter onderscheidt te kunnen maken tussen persoonlijke en bedrijf essentiële data
Conclusie
Het is duidelijk dat bescherming van persoonsgegevens een complexe uitdaging is. Veel organisaties slaan veel meer persoonlijke gegevens op dan ze eigenlijk nodig hebben, inclusief duplicaten of verouderde persoonlijke gegevens, wat de naleving van de privacywetgeving onnodig belast.
Zoals de zaken er nu voorstaan, heeft u al meer dan twee jaar de tijd gehad om dit probleem op te lossen en moet u nu kunnen aantonen welke maatregelen u neemt of heeft genomen om te voldoen aan deze wet. Bent u nog niet toegekomen aan de back-up omgeving, dan kun u het beste opnieuw beginnen.
Schrijf de huidige back-up omgeving af en als u nog geen beleidsplan heeft voor het opslaan van data, zoek dan hulp om er een op te stellen om vervolgens een data protectie platform te ontwerpen die technologieën en functionaliteiten biedt passend binnen de technische vereisten.
Denk serieus aan het uit faseren van uw tape omgeving omdat de huidige technologieën de voordelen van tape al ruim evenaren en de kosten aanzienlijk gedaald zijn waardoor er een kosten efficiënte en betere fit is met de wet dan met tape door te blijven gaan. Ook het lange termijn bewaren van tapes voor andere wet en regelgeving (zoals de belastingdienst) mag inmiddels op andere technologieën en/ of cloud locaties, mits ze op verzoek aantoonbaar maar niet aanpasbaar zijn (read only).
Aangezien de beveiliging van persoonlijke gegevens steeds meer centraal komt te staan in de economische groei en voor de samenleving als geheel, nemen de kosten van verlies of misbruik van de organisatie toe en kunnen deze verwoestend zijn voor reputatieschandalen en financiële vooruitzichten.
Wat gelukkig niet is veranderd; Voorkomen is beter dan genezen.