Het verdwenen Signal-app-bericht: spanningsveld security/privacy versus bewaarplicht/accountability.
Deze week kwamen onder andere de platforms Tweakers.net en Security.nl in de lucht met berichtgeving dat de Europese Commissie nalatig is in het geven van inzage in een app-bericht van de voorzitter van de Europese Commissie.
Wat was er gebeurd?
Follow The Money had een inzageverzoek gedaan bij de Europese Commissie (in de wandelgangen een “EuroWob-verzoek”).
Het verzoek had betrekking op een app-bericht via Signal dat de Franse president Emmanuel Macron had gestuurd aan de voorzitter van de Europese Commissie, Ursula von der Leyen. Onderwerp was het Franse standpunt in op dat moment lopende onderhandelingen.
Het verzoek tot inzage leidde tot de constatering van de Europese Commissie dat er geen inzage kon worden verstrekt. Het betreffende app-bericht bleek niet overgebracht naar een systeem voor het bewaren ervan en inmiddels was het van de telefoon verdwenen.
De twist in het verhaal kwam met de motivering. Von der Leyen had, kennelijk in navolging van een intern advies, in Signal de functie “verdwijnende berichten” ingesteld, waarmee berichten met een zelf te kiezen frequentie automatisch worden verwijderd. Mogelijk goed vanuit het oogpunt van security/privacy, zou je denken. Echter op gespannen voet met de verplichtingen die de Europese Commissie heeft om inzage aan het publiek te verschaffen (Verordening 30 mei 2001 inzake de toegang van het publiek tot documenten).
Dat laatste kan uiteraard alleen als gegevens er nog zijn. Het bewaren ervan is wettelijk geregeld. De Europese Commissie is verplicht om (belangrijke) documenten (ongeacht de vorm, dus ook apps) over te brengen naar een (datamanagement) systeem waarin deze worden opgeslagen (besluit 6 juli 2020 inzake records management and archives). Mede dus uit oogpunt van accountability.
De media waren – terecht – not amused. Zeker nu het intern advies en het beroep erop, voorzichtig gezegd, discutabel was. Het aangehaalde intern advies om het bericht automatisch te verwijderen, lijkt zich moeilijk te verhouden tot de wetgeving die verplicht tot het bewaren ervan.
Het incident vestigt aandacht op het in de wereld van datamanagement klassieke dilemma dat nieuwe communicatiemiddelen of kanalen telkens inbedding vergen in bestaande werkwijzen om die uitgewisselde gegevens te bewaren en te archiveren. Wat enige decennia geleden gold voor de opkomst van fax en e-mail, geldt nu nog steeds. Maar dit zal telkens moeten worden aangevuld met regels rondom nieuwe ontwikkelingen. Denk aan communicatie die tegenwoordig plaatsvindt via chats en apps, en ook de vele manieren van delen van gegevens door samenwerking binnen maar ook met personen buiten de eigen organisatie (denk aan Trello bords, MS Teams, Dropbox, Google Workspace).
Daarmee wordt duidelijk dat organisaties juridisch verplicht zijn zelf grip te houden op hun data. De verantwoordelijkheid om te voldoen aan bewaarplichten, inzageverzoeken en transparantie-eisen rust immers op de organisatie. Het vertrouwen op functionaliteiten van apps of de keuzes van individuele medewerkers doet daar niets aan af. Bedrijven en organisaties die hier geen regie voeren, lopen het risico in strijd te handelen met wettelijke verplichtingen.
Door wettelijke bewaar- en administratieplichten moeten bepaalde gegevens worden bewaard, maar ook vanuit het oogpunt van bewijsrecht en procespositie kan het verlies van data grote gevolgen hebben. Het ontbreken van cruciale documenten kan in procedures leiden tot bewijsnood of tot (rechterlijke) sancties.
Dit vraagt van organisaties een actief en juridisch onderbouwd databeleid waarin bewaarplichten, inzageverplichtingen en vernietigingsplichten met elkaar in balans worden gebracht. Dat volgt niet alleen uit specifieke wettelijke verplichtingen (zoals de fiscale bewaarplicht op grond van art. 52 AWR), maar ook rechtstreeks uit de AVG. Artikel 5 AVG legt de basisbeginselen van gegevensverwerking vast, waaronder het beginsel van opslagbeperking (art. 5 lid 1 sub e AVG), dat vereist dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor zij zijn verzameld. Daartegenover staan onder de AVG verplichtingen tot bewaring en toegankelijkheid: organisaties moeten immers kunnen voldoen aan inzageverzoeken van betrokkenen (art. 15 AVG) en transparantievereisten (art. 12 AVG).
Daarnaast vloeit uit art. 24 en 25 AVG voort dat organisaties verplicht zijn passende technische en organisatorische maatregelen te treffen om naleving van deze beginselen te waarborgen. Dit impliceert dat er beleid, processen en systemen aanwezig moeten zijn die zowel tijdige vernietiging als rechtmatige bewaring faciliteren. Het ontbreken van een dergelijk kader kan niet alleen leiden tot toezicht- en handhavingsmaatregelen door de Autoriteit Persoonsgegevens, maar ook tot civielrechtelijke aansprakelijkheid wanneer cruciale data ontbreekt in het kader van een rechtszaak of contractuele verplichting.
Concreet betekent dit dat organisaties:
bewaartermijnen moeten vastleggen in het verwerkingsregister (art. 30 AVG);
afspraken over bewaartermijnen en verwijdering moeten vastleggen in verwerkersovereenkomsten met leveranciers (art. 28 AVG);
beleid en interne richtlijnen moeten ontwikkelen waarin staat welke gegevenscategorieën hoe lang bewaard worden en wie verantwoordelijk is voor vernietiging of archivering;
moeten zorgen dat technische hulpmiddelen (zoals automatische verwijderfuncties) in lijn zijn met juridische verplichtingen en niet op gespannen voet staan met inzage- of archiefplichten.
Het bewaren van gegevens dient bovendien te worden afgezet tegen verplichtingen vanuit de AVG. Denk aan beveiliging (passende technische en organisatorische maatregelen) en vernietiging. De AVG is weinig specifiek over bewaartermijnen – de verordening kent geen precieze termijnen – maar wel duidelijk is dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor de doeleinden (art. 5 lid 1 sub e AVG) en dat daarna vernietiging (of anonimisering) dient plaats te vinden. Juist dit spanningsveld onderstreept dat organisaties actief moeten sturen op hun databeleid, afwegingen nauwgezet worden gemaakt en niet blind kan worden vertrouwd op standaardinstellingen van apps of platformen of keuzes die gebruikers zelf maken. Hier leest u meer over de AVG.
Heeft u vragen over het bewaren van gegevens en op uw bedrijf of organisatie rustende bewaarplichten? Of over hoe dit zich verhoudt tot verplichtingen ingevolge de AVG? Neem dan contact met ons op.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.