Hoe lang mogen we onze backup-data zelf bewaren, en is dat iets anders dan productie-bewaartermijn?

Backup is een kopie. Een kopie van persoonsdata valt ook onder de AVG, en dezelfde bewaartermijnregels gelden in principe ook voor backups, met een belangrijke nuance: AP en EDPB accepteren dat backup een 'rolling' window heeft.

Probeer dit eerst zelf

1. 1Productie-bewaartermijn (administratie 7 jaar, medisch langer, marketing-data tot consent) is je harde plafond. Backup-data buiten die termijn houden is in principe een grond voor schoning of anonimisering.
2. 2Voor backups specifiek geldt 'rolling retention': je hoeft niet exact bij te houden welke gebruiker in welke backup zit, mits backups na een redelijke termijn (bijvoorbeeld 30, 90 of 180 dagen) automatisch verlopen.
3. 3Bij een 'recht op vergetelheid'-verzoek hoef je niet elke backup te scrubben. Het AP accepteert dat de data binnen X dagen verdwijnt door normale rotatie, mits de productie-data wel direct verwijderd wordt.
4. 4Documenteer expliciet: welke retentie in welke backup-tier, en hoe gaat productie-deletion door naar backup. Bij audit is dit een veelgestelde vraag.
5. 5Lange-termijn archief is iets anders dan backup: archief is bewust voor lange bewaring, met een eigen rechtsgrond en bewaarbeleid. Verwar niet.
6. 6Stel je standaard backup-retentie eerlijk: niet 7 jaar omdat 'we toch genoeg storage hebben', maar de minimale termijn die past bij je RTO en wettelijke eisen.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.