Dit moet je over dataretentie weten
Hoeveel informatie denk je dat bedrijven over jou in handen hebben? Waarschijnlijk veel meer dan je denkt. Alles dat je op het internet doet, laat sporen na. En omdat het stelen van data aan de orde van de dag is, is een dataretentiebeleid een integraal onderdeel van elke organisatie. Maar wat beschermt zo’n retentiebeleid: klanten of bedrijven?
Wat is dataretentie?
Dataretentie is simpelweg het bewaren van gegevens gedurende een bepaalde periode. Stel dat je online een paar sneakers hebt gekocht. De verkoper heeft je naam, e-mailadres, huisadres, telefoonnummer, aankoopgeschiedenis en inloggegevens. Deze informatie mag bewaard worden en dat doet de verkoper dan vaak ook nog lang na je aankoop. En hoewel deze gegevens onbelangrijk lijken, kunnen hackers ze gebruiken om een social engineering– of phishing-aanval uit te voeren.
In 2022 werden er maar liefst 22 miljard gegevensbestanden uit databases gelekt. Veel gelekte data wordt op het dark web te koop gezet. Gestolen databases zijn erg populair onder criminelen – ze betalen soms tot duizenden dollars voor een enkele database.
Een datalek is een nachtmerrie voor elk bedrijf, omdat het kan leiden tot inkomstenverlies, een beschadigde reputatie en hoge boetes.
In het dataretentiebeleid wordt vastgelegd hoe klantgegevens moeten worden beheerd en welke gegevens moeten worden bewaard. Toch slagen veel bedrijven er niet in de gegevens van gebruikers te beschermen of op de juiste manier op te slaan.
Bewaartermijn persoonsgegevens en andere data
Hoe lang mag data bewaard worden? Op grond van de Algemene Verordening Gegevensbescherming (AVG) mogen gegevens “niet langer dan nodig” worden bewaard. Aangezien de AVG geen bewaartermijn voorschrijft, kunnen bedrijven de verordening interpreteren zoals ze willen. Op grond van andere wetten, zoals de belastingwetgeving, worden er wel een bewaartermijn voor specifieke data gegeven. Sollicitatiegegevens mogen bijvoorbeeld niet langer dan 4 weken na het einde van de sollicitatieprocedure bewaard worden.
Veel databases bevatten oude gegevens die al jaren geleden verwijderd hadden moeten worden. En omdat mensen hun telefoonnummer en adres niet vaak wijzigen, kunnen gegevens van 10 jaar oud nog steeds nuttig zijn voor hackers.
Tips om een goed dataretentiebeleid te creëren
1. Beoordeel gegevens nauwkeurig. Verdeel data in categorieën en beslis welke data belangrijk is en wat onmiddellijk moet worden verwijderd.
2. Ken de wetgeving op het gebied van dataretentie. Voordat je je beleid opstelt, moet je weten welke voorschriften op je bedrijf van toepassing zijn.
3. Voer beveiligingsmaatregelen in. Veel organisaties slagen er nog steeds niet in gevoelige gegevens veilig op te slaan. Daarom is het belangrijk om een medewerker aan te stellen die specifiek verantwoordelijk is voor de cyberbeveiliging.
4. Informeer je werknemers. Elke werknemer moet weten hoe gegevens correct moeten worden opgeslagen en begrijpen wat de gevolgen zijn als voorschriften niet worden nageleefd.
Brengt het bewaren van gegevens je privacy in gevaar?
Wanneer een bedrijf je gegevens opslaat, moet je erop kunnen vertrouwen dat ze die veilig bewaren. Zelfs techreuzen als Facebook slagen er niet in de gegevens van hun gebruikers te beschermen en zijn regelmatig het slachtoffer van inbreuken. Aan welke bedreigingen worden je gegevens blootgesteld?
- Onbetrouwbare werknemers. Je weet nooit precies wie toegang tot je gegevens heeft en wat hun bedoelingen zijn.
- Inlichtingendiensten. Hoewel de AIVD en andere overheidsinstanties de samenleving tegen criminelen horen te beschermen, worden er soms vraagtekens geplaatst bij hun bedoelingen. Het bespioneren van mensen is de nieuwe norm geworden. Kun je erop vertrouwen dat techbedrijven je gegevens niet met de autoriteiten delen?
- Onbeveiligde databanken. Soms hoeven hackers niet erg hun best te doen om de persoonlijke gegevens van miljoenen gebruikers te stelen. Veel bedrijven slaan wachtwoorden in platte tekst op en vergeten hun databases voldoende te beveiligen.
Zo kun je je privacy verbeteren
Het is onmogelijk om je informatie niet met bedrijven te delen als je gebruik van hun diensten wilt maken, maar je kunt wel slim te werk gaan. Deel nooit meer informatie dan nodig is, gebruik een aparte e-mail voor het aanmaken van accounts en gebruik nooit twee keer hetzelfde wachtwoord.
Eén van de meest effectieve hulpmiddelen om je privacy te verbeteren, is een VPN. Een VPN versleutelt je internetverkeer en verbergt je IP-adres, zodat niemand toegang tot je browsegegevens kan krijgen.
De app van NordVPN is heel gebruiksvriendelijk – je kunt met één klik verbinding maken met de snelste server die beschikbaar is. Met één account kun je tot zes verschillende apparaten beschermen: laptops, smartphones, tablets, routers en meer.