ABAC (Attribute-Based Access Control)
ABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar...
Lees meerDataretentie bepaalt hoelang je data bewaart en wanneer je ze verwijdert, archiveert of anonimiseert. Het gaat niet alleen over opslagkosten, maar ook over GDPR, auditnoden en het vermijden van oude data die onnodig risico wordt.
Dataretentie is het beleid dat bepaalt hoelang je data bewaart. Voor elk type data spreek je af of ze actief beschikbaar blijft, naar een archief gaat, geanonimiseerd wordt of volledig verdwijnt.
Het klinkt administratief, maar het raakt bijna elke datastack. Een webshop bewaart orderhistoriek voor service en rapportering. HR bewaart sollicitatiegegevens maar niet onbeperkt. Een finance-team heeft factuurdata nodig voor wettelijke bewaartermijnen. Een AI-team wil oude tickets gebruiken als trainingsmateriaal, maar mag daar niet zomaar persoonsgegevens in laten staan.
Dataretentie is dus de kalender van je datahuishouding: wat mag blijven, wat moet weg en wie beslist daarover?
Voor GDPR
Persoonsgegevens mogen niet langer identificeerbaar blijven dan nodig is voor het doel waarvoor je ze verzamelde.
Voor audits
Sommige data moet net lang genoeg bewaard blijven om beslissingen, facturen of transacties te kunnen reconstrueren.
Voor kosten
Data die niemand gebruikt, blijft opslag, backup en beheer vragen.
Voor kwaliteit
Verouderde records kunnen rapporten vertekenen als niemand nog weet dat ze historisch of ongeldig zijn.
Je begint met classificatie. Niet elke dataset verdient dezelfde bewaartermijn. Facturen, klantprofielen, websessies, sollicitaties en logs hebben elk een ander doel en een ander risico.
Daarna leg je per categorie de regel vast. Bijvoorbeeld: operationele logs blijven 90 dagen doorzoekbaar, auditlogs blijven zeven jaar, sollicitatiegegevens worden na een afgesproken periode verwijderd of opnieuw bevestigd, en analytische klantdata wordt geanonimiseerd wanneer de klantrelatie stopt.
Een retentieregel hoort uitvoerbaar te zijn. "Bewaar niet langer dan nodig" is een principe. "Verwijder ruwe trackingevents na 180 dagen en bewaar alleen geaggregeerde statistieken" is een regel die je kan automatiseren.
Retentie gaat over de vraag hoelang data mag of moet blijven bestaan. Archivering gaat over data die je niet dagelijks nodig hebt, maar nog wel gecontroleerd wil bewaren. Backup is een herstelmechanisme na fouten of incidenten.
Die drie worden vaak door elkaar gehaald. Een backup is geen archief: je zoekt er niet comfortabel in, en hij mag geen manier worden om verwijderde persoonsgegevens alsnog eindeloos te bewaren. Een archief is geen vrijbrief om alles te houden: ook archiefdata heeft een retentieregel nodig.
Maak uitzonderingen expliciet
Wettelijke bewaartermijnen, lopende geschillen en auditverplichtingen kunnen langer bewaren verantwoorden. Documenteer waarom de uitzondering bestaat.
Vergeet afgeleide data niet
Persoonsgegevens verdwijnen niet alleen uit het CRM. Ze kunnen ook zitten in exports, dashboards, AI-context, logs en testdatabases.
Automatiseer waar het kan
Retentiebeleid dat handmatig opgevolgd wordt, faalt zodra het druk wordt. Bouw regels in je data pipelines en platformen.
1. Is langer bewaren altijd veiliger?
Nee. Meer historische data kan handig lijken, maar ze vergroot ook het risico bij een datalek en maakt privacyverzoeken moeilijker.
2. Wie beslist over bewaartermijnen?
Dat is een samenspel tussen business, legal, security en data. De data owner moet de regel kennen, maar legal bepaalt vaak de minimale of maximale bewaartermijn.
ABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar...
Lees meerAfwijkingsanalyse onderzoekt waar procesuitvoeringen verschillen van een norm, verwacht patroon of vergelijkingsgroep. Ze maakt zichtbaar we...
Lees meerDe AI Act is de Europese verordening die artificiële intelligentie reguleert. Ze deelt AI-systemen op volgens risico en legt verplichtingen ...
Lees meerAnonimisering maakt data redelijkerwijs niet meer herleidbaar tot een persoon, waardoor de GDPR niet meer van toepassing is. Pseudonimiserin...
Lees meerEen API gateway is de voordeur voor API-verkeer. Ze bundelt authenticatie, rate limits, routing, logging en soms transformatie, zodat achter...
Lees meer
AI zit standaard in Google Workspace for Education en Microsoft 365 Education. Wat krijg je gratis, wat kost extra, wie mag wat per leeftijd...
Hoe kies je tussen Google Workspace en Microsoft 365 voor je school? Wat zit erin, waar zit het verschil, hoe past het op Smartschool en je ...