GDPR en de invloed ervan op digitale archivering en OAIS.

Aangezien er steeds meer lokale en internationale wetten zijn die een goede digitale archivering of bewaring voorschrijven (Belgische digitale wet, MiFID II, NF-461, enz.), is het ook belangrijk om de naleving van de Algemene Verordening Gegevensbescherming te garanderen.

De meeste archiveringssystemen zijn ontworpen om nooit informatie te wissen en zelfs de internationaal befaamde ISO 14721, de "heilige OAIS-graal" van alle archivarissen, is niet compatibel met GDPR.

We behandelen enkele van de belangrijkste elementen van de GDPR die van invloed zijn op digitale archivering en hoe uw archiveringsoplossing deze uitdagingen moet aanpakken.

Minimaliseren en bewaren van gegevens

Persoonlijke gegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en opgeslagen, en mogen niet langer dan nodig worden bewaard. Dit komt tot uitdrukking in artikel 5 van de GDPR: gegevensminimalisatie en opslagbeperking.

Digitale archiveringsoplossingen moet daarom functionaliteiten bevatten zoals:

• Automatisch beleid voor het bewaren van gegevens: 

• Stel geautomatiseerde regels in om persoonlijke gegevens te verwijderen na een bepaalde periode of wanneer ze niet langer nodig zijn.

• Granulaire toegangscontroles: 

• Beperk de toegang tot gearchiveerde persoonlijke gegevens tot bevoegde gebruikers op basis van rollen, verantwoordelijkheden en legitieme doeleinden.

OAIS is bedoeld om informatie eeuwig te bewaren en voorziet geen toegangscontrole op het archiveringssysteem.

Recht op toegang en overdraagbaarheid van gegevens

Personen hebben recht op toegang tot hun persoonlijke gegevens en op een kopie ervan (GDPR Artikel 15). Daarnaast geeft artikel 20 van de GDPR personen het recht op gegevensportabiliteit, waardoor ze hun gegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat kunnen ontvangen.

Digitale archiveringsoplossingen moeten het mogelijk maken:

• Eenvoudig zoeken en ophalen: 

• Implementeer efficiënte zoekmogelijkheden om persoonlijke gegevens op verzoek snel te vinden en op te vragen.

• Functionaliteit voor het exporteren van gegevens: 

• Sta toe dat gegevens worden geëxporteerd in gangbare formaten zoals CSV, JSON of XML, zodat ze gemakkelijk kunnen worden overgezet.

Uw gebruikelijke oplossing voor document- of archiefbeheer biedt dit soort exportfuncties niet.

Recht om te worden vergeten

Artikel 17 van de GDPR geeft personen het recht om hun persoonlijke gegevens te laten wissen onder specifieke voorwaarden, zoals wanneer de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.

Om aan deze vereiste te voldoen, moeten digitale archiveringsoplossingen:

• Veilig wissen inschakelen: 

• Implementeer veilige verwijderingsprocedures om ervoor te zorgen dat gewiste gegevens onherstelbaar zijn en niet gereconstrueerd kunnen worden.

• Verwijderingslogboeken bijhouden: 

• Een register bijhouden van alle verzoeken om gegevens te wissen en van alle acties om de naleving van het recht om vergeten te worden aan te tonen.

Gegevensbeveiliging en encryptie

In overeenstemming met Artikel 32 van de GDPR moeten organisaties passende technische en organisatorische maatregelen treffen om de beveiliging van persoonsgegevens te waarborgen. Dit omvat het beschermen van gegevens tegen onbevoegde toegang, onopzettelijk verlies of vernietiging.

Essentiële beveiligingsfuncties in digitale archiveringsoplossingen zijn onder andere:

• Gegevensencryptie: 

• Versleutel persoonlijke gegevens zowel in rust als tijdens het transport met sterke versleutelingsalgoritmen.

• Regelmatige back-ups: 

• Plan routinematige back-ups om gegevensverlies te voorkomen en de integriteit van gegevens te waarborgen.
• Inbraakdetectie en -preventie: Implementeer bewakings- en waarschuwingssystemen om onbevoegde toegang of inbreuken op de beveiliging op te sporen en te voorkomen.

OAIS beschouwt encryptie als de introductie van een risico voor bewaring.

GDPR nalevingscontrole en rapportage

Organisaties moeten aantonen dat ze voldoen aan de GDPR-voorschriften, en digitale archiveringsoplossingen moeten dit ondersteunen door te bieden:

• Controlesporen: 

• Gedetailleerde logboeken bijhouden van alle gegevensverwerkingsactiviteiten, inclusief toegang tot gegevens, wijziging, verwijdering en overdracht.

• Rapportage over naleving: 

• Genereer aanpasbare rapporten die een overzicht geven van de naleving van de GDPR-vereisten, met de nadruk op mogelijke problemen en gebieden die voor verbetering vatbaar zijn.

Conclusie

Als u wilt voldoen aan de GDPR-verordening, is het misschien goed om de bovenstaande functionaliteiten en vereisten in gedachten te houden.

Deze zullen ook terug te vinden zijn in de herziening van eIDAS, de nieuwe Trust Services en de EUDIW.