Actueel

Dataretentie onder de AVG - Bewaartermijnen & Privacy

Verslag Round Table Breukelen 7 oktober 2019: ‘Dataretentie onder de AVG’ 
door: Lilian Boonstra-Hermans CISM CIPM CIPP E

Bewaartermijnen & Privacy
Hoe werkt het eigenlijk met bewaartermijnen in relatie tot Privacy (en de AVG)? De Round Table van 7 oktober was haast een optelsom van looptijden voor contract, garantie, verjaring en vernietigingstermijnen. Chantal Bakermans, Bas Sluijsmans, Wanne Pemmelaar verhaalden uit hun praktijkervaringen. Onderstaand een persoonlijk verslag van deze 3de avond in het kader van de AVG – Privacy, georganiseerd vanuit de werkgroep.

Bewaren van data zal steeds duurder worden
Chantal Bakermans start de avond met haar verhaal. Sinds de komst van de AVG is het bewaren van data in een ander daglicht komen te staan. Als organisatie moet je nu vooraf weten hoe je de verwerking met persoonsgegevens, inclusief bewaartermijnen van die persoonsgegevens, kunt verantwoorden. Vóór de komst van de AVG zaten veel organisaties met de gedachte ‘baat het niet het schaadt ook niet’. Men wilde zoveel mogelijk gegevens zolang mogelijk bewaren, je wist nooit wanneer de gegevens nog van pas zouden kunnen komen. Met de komst van de AVG mag je niet ‘zomaar of omdat het makkelijk is’ persoonsgegevens verzamelen en bewaren. Gartner wijst ons er nu al op dat het bewaren van data duurder wordt (opslag, backup, uitwijk, data kwaliteit, opvraagprocedures, toezicht en monitoren, kans op verlies met reputatieschade en boetes).

De AVG wettekst is heel ruim over bewaartermijnen
In de AVG wettekst is nauwelijks iets concreets te vinden over bewaartermijnen, de organisatie moet zelf vaststellen welke termijnen bij de ‘verwezenlijking van haar doelen’ horen. Een organisatie moet zelf beleid maken en dat vooraf publiek kenbaar maken (in haar privacy statement). De organisatie moet kunnen aantonen dat de vastgestelde bewaartermijnen horen bij een ‘doel beperking’; ze heeft vastgesteld waarom ze deze persoonsgegevens nodig heeft in haar bedrijfsprocessen.

Gegevens bewaren is onderdeel van gegevens verwerken. Ook over het bewaren heeft een organisatie een ‘accountability plicht’ om aan te tonen dat ze: beleid heeft, dit beleid naleeft, periodiek toetst en zonodig aanpast. Gegevens bewaren is niet alleen een einddatum registreren maar ook een zorgplicht om tijdens alle fasen deze gegevens te managen. Inclusief de zorg voor verzoeken om de gegevens te verwijderen of een verwijdering on hold te zetten. 

Andere internationale regelgeving
Veel bedrijven werken grensoverschrijdend en hebben met diverse wetten te maken nationaal en internationaal. Deze wetten hebben vaak verschillende uitgangspunten en geldigheidseisen voor bewaartermijnen. Het is aanbevelingswaardig om een baseline vast te stellen per documenttype dan hoef je alleen maar de afwijkende condities te toetsen, te accepteren en te monitoren.

Bas Sluijsmans neemt het stokje van Chantal over en verhaalt uit de praktijk: waar loop je zoal tegen aan, wat is handig, wat is niet handig. Wanne Pemmelaar vertelt vervolgens een voorbeeld met smeuïge details over vele landen met vele wetten met nog veel meer bewaartermijnen, die stap voor stap worden geinventariseerd. Zo weten we nu dat er in Rusland een wet is met wel duizend verschillende bewaartermijnen én een wet die bedrijven verplicht om de verjaardagen van de kinderen van hun werknemers te bewaren. 

Een gouden standaard per documentcategorie
Een bewaartermijn is een maximale bewaartermijn, daarna moet je de persoonsgegevens verwijderen of anominiseren (onomkeerbaar anoniem maken). Maar er zijn ook wettelijke bewaartermijnen die niet altijd even eenduidig zijn. Een organisatie wordt zelf geacht die keuzes te maken en vast te leggen. Het is handig om een gouden standaard (bewaartermijn) per document categorie te maken. Dan hoef je alleen maar voor de uitzonderingen een concrete actie en acceptatie te verzorgen.

Het invoeren van retentiebeleid doe je niet zomaar, dat kost normaal gesproken zeker een jaar. Persoonsgegevens zitten deels in gestructureerde omgevingen (databases) en deels in ongestructureerde omgevingen van losse, verschillende documenten (mail, Word, spreadheet, Powerpoint enz). Voor beide omgevingen dient een organisatie beleid te maken. Zeker voor bedrijven met internationale handel is dit toch wel een complex project.

Wanne sluit af met: “You better use it before you loose it”- vooraf benoemen wat je wilt bereiken met de persoonsgegevens. Dan kun je daarna een anomiseringsproces hanteren, omdat bv. specifieke persoonsgegevens als een auto kenteken of creditkaart gegevens niet meer noodzakelijk zijn om te bewaren, maar statistieken wel verder worden opgebouwd.

Tips en weetjes vanuit de plenaire vragen en voorbeelden
Amerika is voorloper op bewaarbeleid en het aantoonbaar op tijd vernietigen.

  • GDPR zegt niets over weggooien, maar je moet wel vooraf kunnen aantonen met je beleid waarom en hoelang je persoonsgegevens wilt bewaren.
  • GDPR zegt niets over afwijkingen op je bewaarbeleid, maar je moet wel vooraf hiervoor een proces hebben vastgesteld en gedefinieerd hebben welke roldrager in welke omstandigheden welke afwijkingen mag goedkeuren.
  • Tijdens het vaststellen van retentiebeleid krijg je ook allerlei definitie vraagstukken. Bv. Wat is de einddatum van een dienstverband, als je in dat land ook nog 3 jaar lang een ontslag kan aanvechten?
  • Ook Cookies hebben sindskort een looptijd gekregen. Bedrijven moeten vooraf definieren hoelang hun cookies actief blijven, en daarna ook aantoonbaar verwijderen.
  • Verzekeringen willen soms weten wanneer een schade is ontstaan en kunnen acteren totdat er een verjaringstermijn is. Dit is een dynamische wereld denk aan asbest schade die soms vele tientallen jaren later pas manifest wordt. Of de schade een e-sigaret die mogelijk in de toekomst gaat spelen.
  • Retentiebeleid maak je niet in de meeste organisaties niet in een paar maanden. De termijnen kunnen verschillen per wet, per land, per dossiertype. De organisatie maakt hier zelf haar afwegingen, haar risico inschattingen.
  • Retentiebeleid is veelal een zaak van voortschrijdend inzicht.

Over de sprekers:

Chantal Bakermans (CIPP/E) is advocaat bij Penrose en heeft zo’n 10 jaar ervaring op het gebied van IT-recht, privacy en intellectueel eigendom (IE). Chantal adviseert en procedeert onder meer over software- en cloud-contracten, alsook de bescherming van persoonsgegevens in het licht van technologische ontwikkelingen.

In het kader van privacy en dataretentie/-opslag heeft zij diverse interne audits en privacy adviesprojecten bij een Nederlandse multinational uitgevoerd of geleid. Chantal is pragmatisch en kijkt verder dan alleen naar de juridische inhoud door ook te ondersteunen bij de vertaalslag daarvan naar de IT techniek en operationele business.

Bas Sluijsmans is expert in Cyber Forensics, eDiscovery en informatie management met 17+ jaar ervaring in opsporing, forensisch onderzoek en consultancy. Als partner bij Forcyd focust Bas zich op nieuwe en intelligente oplossingen voor klanten gericht op informatie en digitale bewijs uitdagingen van (privacy) compliance tot ondersteuning bij onderzoeken door toezichthouders.

Wanne Pemmelaar is tweevoudig entrepreneur en CEO/co-founder van filerskeepers. Wanne bouwt graag technische oplossingen voor juridische problemen die hij uit eerste hand heeft ervaren. Wanne heeft meer dan elf jaar werkervaring als datatech advocaat. Als het gaat om het ontwikkelen van producten, staat hij op een prachtig ontwerp met empathie voor de gebruiker. Filerskeepers geeft multinationals inzicht in hoe lang ze hun gegevens moeten bewaren op basis van wettelijke vereisten. filerskeepers biedt dataretentie overzichten die inzicht geven in de wettelijke maximale en minimale bewaartermijnen die van toepassing zijn op wereldwijde bedrijven. Gartner heeft filerskeepers in 2019 een 'Cool Vendor' genoemd in haar rapport 'Cool Vendors in Legal and Compliance Automation'; Wanne brengt zijn vrije tijd door met hardlopen, bodyboarden/surfen, lezen en flamencogitaar spelen. Lees meer op www.filerskeepers.co.

COBIT® 2019 - interview Dirk Steuperaert

Nieuwe COBIT 2019 biedt praktische handvatten voor de governance van IT

Veel organisaties gebruiken COBIT om hun IT-omgeving te beheersen. Eind 2018 kwam de nieuwste versie uit, COBIT 2019. Dirk Steuperaert is universitair docent in Antwerpen en Gent én IT Risk & Governance Consultant. Hij geeft inzicht in de nieuwe punten van COBIT als ITGovernance model.

Wat maakt deze tijd van digitalisering zo rumoerig?
“De laatste jaren zijn er veel stappen gezet in de IT. Het is nu vooral de snelheid waarmee zaken evolueren die velen verrast. En de mate waarin alles wat te maken heeft met informatie en informatieverwerking enigszins aan de controle van de klassieke IT-afdelingen lijkt te ontsnappen. Organisaties lijken het overzicht over het geheel van IT kwijt te zijn.”

Met dit in het achterhoofd, wat is dan uw visie op IT governance?
“Mijn interpretatie van IT governance is dat het gaat om mechanismen die een organisatie gebruikt om richting te geven aan het gebruik van IT en te volgen of die richting wordt gevolgd en de nodige resultaten geeft. Het moet waarde toevoegen. In COBIT wordt de waarde gedefinieerd als een evenwicht van benefits realisation, het beheersen van risico’s (risk optimisation) en dat alles met verantwoordelijk gebruik van resources (resource optimisation) gebeurt. Dat gaat ver voorbij het klassieke GRC-verhaal.”

IT moet waarde leveren, maar hoe te beginnen?
Wat is de belangrijkste reden om een governance raamwerk als COBIT te gebruiken? “Veel organisaties hebben hulp nodig om dit goed te organiseren en in de praktijk te brengen. Ze weten: IT moet waarde leveren, maar hoe te beginnen? Een beschrijving van alle processen, structuren, relationele mechanismen enzovoort zijn te vinden in COBIT. COBIT is gegroeid als een procesmodel, een beschrijving van een aantal processen. Dat is nog altijd een belangrijk deel, maar er is nu ook meer aandacht voor andere componenten van een governance systeem. In de praktijk gebruiken mensen COBIT om structuur en overzicht te krijgen in hun governance inspanningen.”

Is COBIT ook te begrijpen en gebruiken voor iemand zonder IT-achtergrond?
“Zeker. Dat moet, omdat ook mensen in het management en bestuur zonder een IT-functie een belangrijke rol spelen in de governance van IT. En het is begrijpelijk: er staat in COBIT geen enkel technisch woord. Het is geschreven op een technologieneutraal niveau.”

Wat was de aanleiding om verbeteringen aan te brengen en COBIT 2019 uit te brengen?
“De vorige versie was alweer zeven jaar oud (COBIT5 2012), en de eerdere versie dateerde van vijf jaar daarvoor (2007 COBIT4.1). COBIT heeft zich altijd willen aligneren met alle andere standaarden die governance ondersteuning mogelijk maken (ITIL©, Prince2© etc.) Die positionering wil COBIT blijven houden, als overkoepelend raamwerk. Alle andere standaarden zijn geëvolueerd en dan moet COBIT simpelweg mee. Daarnaast zijn inzichten over IT governance in die zeven jaar veranderd. We hebben te maken met de cloud, er zijn nieuwe ontwikkelingsmodellen, agile en devops waar ontwikkelingen en operations samengevoegd worden. Allemaal trends waar we, als makers, de relevantie van COBIT moeten onderzoeken en eventueel aanpassen. Verder zijn wat specifieke zaken aangepast, zoals het process capability model. De vorige versies van COBIT werden geschreven door ingenieurs en zagen er dientengevolge complex uit. Dat is nu sterk verbeterd, inclusief andere verbeteringen.”

Deze COBIT is duidelijk gericht op niet-IT-mensen, zoals de RvB, die wél met IT governance te maken hebben. 
Hoe kunnen kleine en grote organisaties de nieuwe COBIT 2019 gebruiken?
“In COBIT 2019 is het begrip Focus Area gedefinieerd. Zo kun je als gebruiker het voor jou relevante materiaal selecteren en wordt het desgewenst verder toegelicht. Er is bijvoorbeeld een focus area voor ‘small and medium enterprise’, waarvan de guide echter nog niet is uitgebracht. Er is ook een design guide waarmee je je eigen governance systeem kunt designen. Tevens is een Risk Focus Area in ontwikkeling met templates. En een lijst met generieke riskscenario’s helpt gebruikers om risico’s in IT goed te managen. Het zijn voorbeelden. Belangrijk is dat deze COBIT duidelijk is gericht op niet-IT-mensen, zoals de RvB, die wél met IT governance te maken hebben.”

bron: commerciele uitgave: Ondernemend Nederland – juni 2019 | bijlage bij Elsevier Weekblad

Research in IT-auditing: A Multidisciplinary view

Research IT Auditing VU

Naar aanleiding van het LinkedIn bericht van Professor Abbas Shahim RE met betrekking tot boekpublicatie Research in IT-auditing: A Multidisciplinary view, zijn de Young professionals van ISACA en NOREA bij de Postgraduate opleiding IT-Audit, Compliance & Advisory (ITACA)  van de Vrije Universiteit van Amsterdam geweest, om Abbas Shahim (Professor van de IT-Audit opleiding) een aantal vragen te stellen over het eerste boek van ITACA opleiding, welke toeziet op wetenschappelijk onderzoek in het vakgebied van de IT-Audit.

abbasProf. dr. ing. A. Shahim MSc RE CGEIT CRMA Abbas is hoogleraar op het gebied van de IT-Auditing, Governance, Risk en Compliance (GRC) en voorzitter van ITACA. Hij is ook actief in de praktijk en is onlangs aangesteld als Global Head of GRC bij Atos Consulting. Als lid van het internationale managementteam, leidt en stuurt Abbas de GRC-consulting wereldwijd. Abbas was in de periode 2006-2011 actief bestuurslid van ISACA Nederland waar hij verantwoordelijk was voor de academic relations.

Hoe is het idee ontstaan om als opleiding een boek uit te geven?
Abbas geeft aan dat het idee voortkwam uit het feit dat de opleiding maar zeker ook het vakgebied van de IT-Audit meer een onderzoek karakter moet krijgen. Het vak van de IT-Auditor is een relatief jong beroep in vergelijking tot bijvoorbeeld dat van de Financial Auditor (Accountant). Dit zie je ook terug in de literatuur. Binnen het vakgebied IT-Audit zijn tot op heden veel praktische relevante boeken uitgebracht, maar het ontbreekt aan publicaties, die in de kern een onderzoek karakter hebben. Met de publicatie van “Research in IT-Auditing: A Multidisciplinary view” proberen we dit te doorbreken.

Wat kunnen we verwachten als we het boek Research in IT-Auditing lezen?
U kunt een boek verwachten met een brede variatie aan actuele onderwerpen op het gebied van de IT-Auditing. Door de redactie en de kerndocenten van de ITACA-opleiding zijn alle masterscripties beoordeeld en de meest relevante scripties voor de IT-Auditpraktijk, van het studiejaar 2016/2017, zijn gebundeld in deze publicatie. Om de omvang aantrekkelijk te houden, hebben de studenten speciaal voor deze publicatie hun scriptie kernachtig in een artikel samengevat.

Indien de interesse is gewekt, zijn de meeste scripties te raadplegen op de website van VUrORE. (VUrORE is de studievereniging van onze IT-Audit opleiding en de voorloper van de NOREA).

Deze artikelen hebben een onderzoek karakter en gaan over interessante, hedendaagse onderwerpen. Ik zal verder niet inhoudelijk ingaan op de verschillende artikelen, die zijn opgenomen maar het betreffen alle zeer actuele onderwerpen. Wij hebben de overtuiging dat het lezen van deze uitgave een toegevoegde waarde heeft voor elke IT-Auditor.

[In onderstaande figuur ziet u welke onderwerpen zijn opgenomen in deze publicatie.]

figuur Research IT Auditing VU

Was het lang zoeken naar een gepaste titel?
De titel is zeer bewust gekozen. De titel: Research in IT-Auditing: A Multidisciplinary view, geeft weer dat het boek een weerspiegeling is van de aanwezige kennis bij de studenten, die ter afronding van hun opleiding onderzoek doen in het vakgebied van de IT-Auditing. Door de bundeling van IT-Audit gerelateerde artikelen van de studenten ontstaat er een multidisciplinary kijk.

Welk doel heeft de opleiding met deze publicatie?
Het doel van deze publicatie is drieledig.Ten eerste toont deze publicatie de kennis die aanwezig is in de opleiding. Met behulp van deze publicatie trachten wij de kennis die aanwezig is in de scripties van onze opleiding samen te brengen ofwel ”capture knowledge”. Waar in het verleden de kennis die aanwezig was verborgen bleef voor de praktijk, is het met de komst van deze publicatie mogelijk om op een gestructeerde wijze vorm te geven aan de “knowledge transfer”. Tot slot is dit het eerste boek in Nederland met een ”research character” binnen het veld van de IT-Audit.

Hoe wilt u de ”knowledge transfer” bereiken?
Dit bereiken we door de inzet van sociale media, maar ook door direct contact met kantoren, beroeps­organisaties en aanverwante opleidingen. De knowledge transfer is zo belangrijk dat ik u kan verklappen dat het niet bij een eenmalige publicatie zal blijven. Ons voornemen is om jaarlijks een versie uit te brengen van de “research in IT-Auditing”. Wij vinden het ook van belang om de wetenschappelijke kennis die binnen de opleiding aanwezig is te delen, derhalve voeren wij op dit gebied een actief beleid. Daarbij zien we ook een rol voor NOREA en ISACA als belangrijkste belangenverenigingen van de IT-Auditors, zij zijn ten slotte het eerste aanspreekpunt voor onze alumni en de professionals in het vakgebied.

Hiernaast wil ik u ook wijzen op de studievereniging VUrORE welke zich in het bijzonder inzet voor de knowledge transfer tussen de opleiding en de professionals. Jaarlijks houden ze een symposium over een actueel thema binnen het vakgebied, het afgelopen voorjaar stond dit symposium in het teken van blockchain; En in het najaar geeft VUrORE een seminar met enkele scriptanten die zijn opgenomen in deze publicatie.

Is het mogelijk een exemplaar van de publicatie Research in IT-Auditing te verkrijgen?
Zoals  hierboven aangegeven is “knowledge transfer” een belangrijk speerpunt. Graag bieden wij van de ITACA-opleiding aan de VU, de publicatie “Research in IT-Auditing: A Multidisciplinary view” kosteloos aan, voor iedere geïnteresseerde in IT-Audit gerelateerde onderwerpen met een onderzoek karakter die gaan over interessante, hedendaagse onderwerpen.

Een digitale versie van de publicatie kunt u vinden op de websites; van VUrORE (via deze link) of van onze opleiding (via deze link). Wilt u een fysiek exemplaar, dan kunt u een aanvraagmail sturen naar: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Download de PDF.