Detailniveau op verklaring leverancier na datavernietiging uit SaaS-applicatie

  • aug 2022
  • Dick de Heer
  • ·
  • Aangepast 27 jun
  • 112
Dick de Heer
Toezicht
  • Anastassia Adriaanse

Samenvatting

Een overheid heeft van een SaaS-leverancier een verklaring van datavernietiging ontvangen. Oké? Neem geen genoegen met zo’n globaal overzicht. Met een gedetailleerder verklaring kan ‘bij gedoe achteraf’ een overheid de adequate verwijdering van de data zelf aantonen. Welke gegevens met welk detailniveau zijn gewenst?

Actie

Wie

Datum uitgevoerd

Verwijderen data informatiesysteem + fysieke bestanden

Leverancier

datum 1

Verwijderen backups van software

Leverancier

datum 1

Verwijderen uit monitoring software

Leverancier

datum 1

Verwijderen tenant

Leverancier

datum 2

Verwijderen testdatabase en productiedatabase

Dienstverlener

datum 3

Uitschakelen periodieke datadumps en backups

Dienstverlener

datum 3

Verwijderen backups databases

Dienstverlener

datum 3

Dit praktijkvoorbeeld vind ik wel een erg globaal overzicht. Nu heeft het Zeeuws Archief als toezichthouder wel voldoende aan zo’n globale verklaring van vernietiging. Tegelijk vind ik dat een overheid het opdrachtgeverschap voldoende body moet geven en mbt het informatiebeheer in control moet zijn. Daarom zou - in mijn ogen - een overheid met zo’n globaal overzicht geen genoegen mogen nemen en bij de leverancier een gedetailleerder verklaring van vernietiging moeten opvragen. Daarmee kan zo’n overheid ‘bij gedoe achteraf’ zelf de adequate verwijdering van de data aantonen.
=> Hoe gaan andere archiefdiensten met dit issue om?

Een andere optie is: Een overheid vindt een globale verklaring van vernietiging voldoende, want ‘bij gedoe achteraf’ kan deze terugvallen op de verwerkersovereenkomst met de leverancier (die op zijn beurt met een dienstverlener of toeleverancier ook zo’n OVK heeft).
=> Is het wenselijk dat een overheid ‘bij gedoe achteraf’ afhankelijk is van een bedrijf waar het geen cliënt meer is?

Als we dan een gedetailleerder verklaring van vernietiging nodig vinden, is de vervolgvraag welke gelogde gegevens daar op zouden moeten staan. Want desgevraagd geeft de leverancier aan dat er snel discussies ontstaan over het detailniveau van logging of rapportages. De leverancier daarom ziet graag een voorbeeld van het Zeeuws Archief en geeft aan dat het waarschijnlijk meerwerk zal worden.
Dat laatste vind ik merkwaardig en wekt bij mij geen vertrouwen, terwijl daarin natuurlijk de crux zit. Nog niet vermeld is dat dit balletje ging rollen toen op de verklaring een verkeerde gemeentenaam stond. Blijkbaar bevatten de administratieve processen bij de SaaS-leverancier onvoldoende controles.
Zonder vertrouwen heeft geen enkele verklaring zin, hoe gedetailleerd deze ook is. Het geheel moet vertrouwenwekkend overkomen.

Ik mag aannemen dat in een SaaS-applicatie de beheerprocessen accuraat gelogd worden. Daarom lijkt het mij niet te veel gevraagd dat een leverancier een verklaring van datavernietiging aanlevert met een redelijke mate van detail, waarvan zichtbaar is dat deze (deels) geautomatiseerd zijn vastgelegd.
=> Graag zie ik reactie welke gegevens met welk detailniveau bij andere archiefdiensten gebruikelijk zijn.

Binnen het Zeeuws Archief willen we hiervoor beleid maken. Zo mogelijk stellen we een lijst met vereisten op, maar de toegevoegde waarde en het waarom ervan moeten duidelijk zijn. Daarna willen we onze overheden informeren zodat deze over dit aspect vooraf met hun leveranciers afspraken kunnen maken.
Dank alvast!