Bewaartermijnen. Als je het woord zegt, gaan in de meeste kringen de nekharen overeind staan. Het is, zacht gezegd, niet het meest sexy onderdeel van privacy. Logisch ook, als je het benadert zoals veel mensen doen.
Want als je je gegevenshuishouding vergelijkt met een dossierkast, kun je het privacyprogramma op hele grote lijnen vormgeven als de volgende to do-lijst:
- Formulieren opnieuw vormgeven en minder onzin uitvragen
- Super hightech, nieuw slot bestellen (iets met een irisscanner zou wel tof zijn!)
- Vermakelijke training voor het personeel verzorgen, zodat ze dossiers in de kast (met het coole slot) opruimen en niet laten slingeren
- Alle oude dossier nalopen en versnipperen wat we niet meer gebruiken
Nu mag jij raden welke taak er vaak blijft liggen.
Ruim je kamer nou eens op!
Het is goed te verklaren waarom we liever niet over bewaartermijnen praten. Sinds de digitalisering heeft eigenlijk niemand écht last van opstapelende en tot in den treure bewaarde gegevens: het neemt geen fysieke ruimte in. Sommige organisaties bewaren zelfs bewust zoveel mogelijk informatie, omdat ze er een verdienmodel op bouwen of omdat ze onderzoek willen doen.
Beginnen over bewaartermijnen voelt voor mensen aan alsof je op het punt staat om ze de opdracht te geven hun kamer op te ruimen. Niemand heeft daar zin in. Dus blijven we lekker bewaren. En we bedenken er goede smoezen bij: ‘het is klantgerichter als we je nog kennen als je ooit in je leven nog eens terug komt’, of ‘wie weet wat voor onderzoeken we in een nabije of verre toekomst nog kunnen bedenken en/of uitvoeren’. Samengevat in de allesomvattende: ‘misschien komt de data nog van pas’.
De tijd van bewaren is (bijna) voorbij
Toch beweegt de maatschappij alweer weg van het eeuwige bewaren. Onze partner Jeroen Terstegge was – terecht – gepikeerd toen zijn gegevens op straat kwamen te liggen bij een datalek. Niet zozeer vanwege het datalek (dat kun je nu eenmaal niet altijd voorkomen), maar omdat zijn gegevens al lang verwijderd hadden moeten zijn. Datalekken halen vaak het nieuws, en er vinden aardig wat aanvallen plaats op databases. Je kunt een datalek gewoon niet altijd voorkomen. Maar als het noodlot jouw organisatie treft, wil je zo min mogelijk schade. De beste verdediging? Je kunt niet verliezen wat je niet hebt.
Daarnaast worden bewuste burgers steeds voorzichtiger met het delen van gegevens. Marketeers werken al toe naar het ‘cookieloze tijdperk’. Ze kijken naar de effectiviteit van context-gerelateerde advertenties in plaats van gerichte profieladvertenties, omdat consumenten vaker kiezen voor browsers en applicaties die tracking veel moeilijker maken. Ook verzoeken mensen steeds vaker proactief om verwijdering als hun zaken voltooid zijn. Bewaren past niet bij die beweging.¹
Een betere naam
We hebben wel een betere naam nodig dan ‘bewaartermijnenbeleid’. Van zo’n woord gaat niemand huppelen. Mijn voorstel is ‘wegmieteren by design’: je gegevenshuishouding zo opzetten dat je vanaf de eerste verwerking al stuurt op het zo snel mogelijk en zoveel mogelijk verwijderen van gegevens die niet absoluut noodzakelijk zijn. Maar misschien blijkt uit mijn voorstel wel waarom marketing niet voor mij is weggelegd.
Van achterstallig onderhoud naar datastrategie
Dan komt de realiteitszin. Want het is leuk dat een millennial lekker begint te blaten over minimalisme en het ‘ontspullen’ van de cloud, maar veel gegevens moeten nu eenmaal lang bewaard worden (bijvoorbeeld fiscale administratie, of patiëntendossiers). Daarnaast is het echt van grote waarde voor organisaties om rapportages te draaien en onderzoek te doen met historische gegevens. Bijvoorbeeld om trends in kaart te brengen. En opruimen kan gewoon heel veel werk zijn. We hebben beperkte tijd en middelen, die we vaak anders willen besteden (en terecht).
Maar het heeft ook te maken met een stukje perceptie. Op dit moment zien veel mensen het opschonen van gegevens nog echt als corvee. Als het over handmatig en achterstallig onderhoud gaat, kun je het daar ook mee vergelijken. Maar het ‘saaie’ gedeelte valt in veel gevallen te automatiseren. En het interessante deel – de strategische keuzes – kunnen je organisatie klantvriendelijker en veiliger maken en makkelijker navigeerbaar voor nieuwe werknemers. Bovendien kunnen ze in commerciële kringen concurrentievoordeel opleveren.
Koppel aan de voorkant bijvoorbeeld gegevensvelden aan bewaartermijnen en verwijdering. Of automatiseer anonimisering. Dan heb je er daarna weinig omkijken naar. Als je dossiers dan ook nog de status ‘gearchiveerd’ of ‘gesloten’ kunt geven zodra ze niet actief zijn, waarmee bijvoorbeeld toegangsrechten veranderen, vergroot je ook nog eens de beveiliging in de tijd tussen het deactiveren en daadwerkelijk verwijderen. Je kunt ook aan de voorkant nadenken over welke gegevensvelden je uit dossiers wilt trekken en bijvoorbeeld aggregeren. Zodat je anonieme onderzoeksdata hebt die je langer kunt bewaren en bredere inkijkrechten kunt geven. En waarbij je niet gebonden bent aan regels over bijvoorbeeld doelbinding. Op die manier help je je organisatie verder, terwijl je betrokkenen beter beschermt.
Natuurlijk is het bovenstaande makkelijker gezegd dan gedaan, en voor een belangrijk deel afhankelijk van wat een applicatieleverancier als mogelijkheden biedt. Neem de mogelijkheden voor het automatisch archiveren en verwijderen van gegevens dus mee in je keuze voor een applicatie. En mochten leveranciers van applicaties dit lezen: het gebruiksvriendelijk en intuïtief inrichten van ‘wegmieteren by design’ kan je product op dit moment een goede positie in de markt opleveren.
¹ Ik laat de milieuimpact van alle digitale opslag van onnodige gegevens maar even buiten beschouwing. Maar ik nodig je uit er eens over na te denken.
