Back ups en de Archiefwet.

In principe is een back-up een middel om zo snel mogelijk de huidige toestand te herstellen.

Bij voorkeur herstel je niet meer dan een paar uur voor een catastrofe en is dus de conclusie dat 1 jaar (of zelfs korter, als je het aandurft) bewaren van back-ups voldoende is. Aangezien je bij een calamiteit bij voorkeur een back-up gebruikt van zo recent mogelijk en niet een van 5 of 7 jaar geleden.

Aangepast op 4 februari

Eens met Peter. Het (te) lang bewaren en terugzetten van back-ups vormt een risico voor dossiers die vanwege het bereiken van hun bewaartermijn al zijn vernietigd. Het is daarom goed om in het beleid vast te leggen hoe om te gaan met terugzetten van een back-ups in relatie tot dossiers die officieel al zijn vernietigd uit het systeem.

Hoi Cora, eens met bovenstaande. Mijn credo: een backup is geen archief. Maar ik bel wel even benieuwd naar het volgende. Wat is jullie beweegreden geweest om het op te nemen in jullie selectielijst?

Aangepast op 4 februari

Nadia, Het staat niet in de selectielijst. Wij hebben bij de oude tapes de selectielijst gebruikt uit voorzichtigheid. Onze buurman NWO is in 2021 gehackt met stevige gevolgen, omdat wij ook voor NWO werken hebben we van dichtbij de gevolgen ervaren. Daardoor ben ik over dit onderwerp erg voorzichtig.

De retentie voor de back-ups is bij ons afhankelijk van hoe vaak er een back-up wordt gemaakt. Van sommige systemen word ieder uur een back-up gemaakt, deze worden 24 uur bewaard. Van andere systemen wordt bijv. bij de start van een kwartaal een back-up gemaakt, deze worden een jaar bewaard. Een jaar is ook de maximale termijn dat bij ons back-ups worden bewaard, vanwege o.a. eerder genoemde redenen.

Op de website van het Nationaal Archief staat informatie over hoe om te gaan met back-ups en vernietiging. In de RODIN 2.0 wordt aangegeven dat na een vernietigingsronde een nieuwe back-up gedraaid kan worden. Alle vernietigde informatie is dan niet meer vindbaar in de back-ups

Aangepast op 27 maart

Bedenk ook dat informatie dat vernietigd is en toch nog in de back-up staat, dus aanwezig is. Hierdoor dient bij een Woo-verzoek een dergelijk document meegenomen te worden. Buiten alle extra privacy risico's om is het dus absoluut niet wenselijk om een back-up lang te hebben in het kader van de Woo (en natuurlijk Archiefwet, want die stelt dat vernietiging een handeling is van het nooit meer mogelijk zijn van het herstellen/reconstrueren van informatie).

Ik ben overigens erg benieuwd of iemand in de praktijk al een Woo-verzoek heeft gehad, waarbij gewezen is op de informatie in een back-up?

Ter aanvulling een citaat uit de Selectielijst 2020 pagina 9; 'Op het moment van vernietiging van het origineel dienen ook digitale kopieën niet meer beschikbaar te zijn in de informatiehuishouding van de organisatie. Dit is anders ondermijnend voor de procedure van het gecontroleerd vernietigen van archiefbescheiden.'

Selectielijst-omslag_20200214

Bedenk dat bij een verzoek op basis van ‘recht op vergetelheid’ van een burger, dit (dus) ook consequenties heeft voor de oude bestanden in back up’s.

Dus inderdaad, beperk je back ups, zeker in de tijd.

Een back-up is primair bedoeld voor herstel. Bewaartermijnen zijn afhankelijk van voorziene herstel scenario's, zoals door technisch beheer uitgewerkt, en op basis van organisatie beleid voortkomend uit (o.a.) Business Impact Analyse (BIA) en risicoanalyse, en Informatiebeveiligingseisen. Hoewel de back-up niet bedoeld is als archief, is het echter niet ongebruikelijk om maand back-ups en jaar back-ups langer te bewaren. Denk aan ransomware of fraude onderzoek.

Een secundaire omgeving om hierop back-ups terug te plaatsen en daarop de betreffende gegevens te verwijderen is kostbaar en arbeidsintensief. Alternatief is beleid en processen in te richten die zorgdragen dat de betreffende gegevens in het geval van een restore direct worden verwijderd vóórdat de betreffende omgeving voor gebruik wordt vrijgegeven. Daarnaast de back-ups en de toegang daartoe beveiligen zodat deze gegevens niet te benaderen zijn, wat eigenlijk toch al een goede en in veel gevallen vereiste werkwijze is.

Vraag je CISO ook eens wat de bewaartermijn is van back-ups in je organisatie. Strikt genomen ga je als informatiebeheer hier niet over. Bewaar je naast virtuele back-ups ook nog tapes dan kan je gaan differentiëren hoe lang die typen bewaard moeten worden. Deze afweging wordt bepaald door de risicoanalyse die je CISO er op los laat (ransomware, continuering van kritieke bedrijfsprocessen, etc.).

@adriaanmol

Ik denk dat het altijd een samenspel tussen informatiebeheer, CISO, FG en ICT om een goede omgang met back-ups vast te stellen.

Gedeeltelijk ben ik het eens met jouw stelling.

Informatiebeheer gaat inderdaad niet perse over bewaartermijnen. Bewaartermijnen worden ofwel in de achterliggende wetten bepaald of in overweging vanuit risico's of systemen vastgesteld (in een selectielijst).

Risicoanalyse is zeker een methodiek om een bewaartermijn te bepalen. Wettelijke verplichtingen staan echter hierboven. Vernietiging is een wettelijke verplichting. Het niet meer kunnen reconstrueren van informatie dat vernietigd is, valt onder deze wettelijke verplichting.

En hier kom ik terug op mijn eerste opmerking. Informatiebeheer kan m.i. het beste samen met ICT, CISO en FG een passende advies over de omgang met back-ups opstellen. Dit zou ik inderdaad op basis van een risicogerichte benadering doen, waarbij vastgelegd wordt wie kiest (verantwoordelijk is) welke risico's acceptabel zijn. Dat laatste lijkt mij de verantwoording van het college.

In het verlengde hiervan, kunnen we constateren dat specialisten informatiebeheer en andere collega vakgenoten op bijvoorbeeld het gebied van privacy, informatiebeveiliging en Woo elkaar steeds meer nodig hebben. Omdat we gedeelde belangen hebben, zoals bijvoorbeeld vernietiging.

Over de gedeelde belangen DUTO en AVG wijs ik jullie graag op het volgende: Jouw feedback? - Kaarten om het gesprek aan te gaan over DUTO - KIA community

Back-up ≠ archief —> waarom dat onderscheid zo belangrijk is

Een back-up is een veiligheidskopie voor technisch herstel. Een archief is een bewuste, gestructureerde bewaring van informatie met een inhoudelijk doel. Die twee door elkaar halen is een veelgemaakte fout, en het verklaart waarom veel organisaties back-ups veel te lang bewaren. De selectielijst is bedoeld voor archiefwaardige informatie niet voor technische herstelkopieën. Dus de langste bewaartermijn uit de selectielijst toepassen op back-ups is eigenlijk appels met peren vergelijken.

Wat is een realistisch hersteldoel?

Stel jezelf de vraag: wanneer zou je ooit teruggrepen naar een back-up van vijf jaar geleden? In de praktijk bijna nooit. Technische systemen veranderen, software-versies zijn niet meer compatibel, en de data uit zo'n oude back-up is vaak niet meer bruikbaar in de huidige omgeving. De back-up bestaat dan nog wel, maar het herstelscenario bestaat niet meer. Dat is precies wat je wilt vermijden opslag zonder functie.

De data bepaalt de termijn, niet de back-up

Als de onderliggende data — een document, een zaak, een besluit — al elders bewaard wordt of al vernietigd mag worden, dan heeft de back-up daarvan geen zelfstandige waarde meer. De back-up is immers een kopie. Het origineel is leidend. Dit betekent dat je per type data kunt redeneren: wat is het risico, wat is de herstelbehoefte, en wat staat er al ergens anders?

Wat is verdedigbaar?

Voor operationeel herstel (ransomware, systeemcrash) is 30 tot 90 dagen in de meeste gevallen meer dan voldoende. Voor situaties met een juridisch of financieel risico denk aan aansprakelijkheid, audits of bezwaarschriften kun je denken aan 1 tot 3 jaar. Alles daarboven vraagt om een heel specifieke onderbouwing, anders wordt het moeilijk uit te leggen aan een toezichthouder.

Duurzaamheid als extra argument

Opslag kost geld, energie en beheerscapaciteit. Data die je niet meer nodig hebt maar toch bewaart is een last, geen asset. In het kader van informatieduurzaamheid en digitale hygiëne is kortere bewaring van back-ups dus niet alleen verdedigbaar het is gewoon verstandig beleid.

Jullie redenering klopt. Koppel de bewaartermijn aan het hersteldoel, niet aan de selectielijst. Documenteer de keuze goed, betrek de privacy- en juridische kant erbij, en zorg voor bestuurlijke vaststelling. Dan sta je stevig.

Hopelijk heb je hier iets aan :-)!

Hartelijke groet,

Layla