/Blogs en artikelen/Artikel/Beschikbaarheids- en integriteitsproblemen bij datamigratie (en hun privacyrechtelijke consequenties) 
Artikel

Beschikbaarheids- en integriteitsproblemen bij datamigratie (en hun privacyrechtelijke consequenties) 

27 november 2025

Geschreven door Irma Smeding


Een bedrijf stapt van een oud systeem[1] dat het voor bepaalde bedrijfsprocessen gebruikt, over op een nieuw systeem. De data, waaronder persoonsgegevens, die in het oude systeem worden verwerkt, moeten uiteraard naar het nieuwe systeem worden overgezet. Dit proces van datamigratie lijkt succesvol te zijn verlopen. Er is sprake van een uitval van 0,23% aan bestanden die niet in de nieuwe applicatie terecht zijn gekomen of die van daaruit niet te raadplegen zijn. Een keurig en acceptabel uitvalspercentage, vindt de projectleider die over wil gaan naar de volgende projectfase. Of moet zij hier toch nog wat mee? 

Deze vraag wordt hieronder beantwoord door te bekijken wat de privacyrechtelijke[2] en andere juridische implicaties van een dergelijk uitvalpercentage kunnen zijn. Hierbij is dus het uitgangspunt dat bij de datamigratie persoonsgegevens betrokken zijn. Achtereenvolgens komt  het volgende aan bod:

  • * Datamigratie: wat is het (niet), waarom vindt het plaats en wat kan er misgaan?
  • * Privacyrechtelijke consequenties van problemen bij datamigratie; datalekmelding?
  • * Andere juridische consequenties
  • * Recente en toekomstige ontwikkelingen op het vlak van datamigratie
  • * Conclusie en aanbevelingen

Datamigratie;  wat is het (niet), waarom vindt het plaats en wat kan er misgaan? 

Datamigratie

Hoewel het woord ‘migratie’ in de zin van ‘verplaatsing’ in relatie tot data op meerdere situaties betrekking zou kunnen hebben, wordt deze term in de ICT gereserveerd voor het (veelal) geautomatiseerd proces waarbij data vanuit het ene systeem naar het andere worden overgezet. Dit proces vindt binnen de ICT-infrastructuur[3]  van de eigenaar van de data c.q. de verwerkingsverantwoordelijke en onder diens verantwoordelijkheid plaats. Van datamigratie is dus geen sprake wanneer persoonsgegevens  door een verwerkingsverantwoordelijke partij naar een andere verwerkingsverantwoordelijke partij worden overgebracht[4] (datatransfer). Ook de feitelijke verplaatsing van persoonsgegevens vanuit het systeem van de verwerkersverantwoordelijke naar de omgeving van diens verwerker valt niet onder de noemer ‘datamigratie’.

Dataconversie

Bij een datamigratie vindt er vaak ook dataconversie, omzetting, plaats zodat de data in het nieuwe systeem gebruikt kunnen worden. 

Waarom?

Dikwijls zal de datamigratie in de hierboven beschreven situatie van systeemvervanging plaatsvinden. Maar bijvoorbeeld ook het in gebruik nemen van een datawarehouse kan een aanleiding voor datamigratie vormen. Voorts vormt het in toenemende mate overstappen van legacy-systemen naar schaalbare (multi)cloud-oplossingen de aanleiding tot datamigratie.[5] En het valt tenslotte te hopen dat het realiseren van datasoevereiniteit de komende tijd steeds vaker aan datamigraties ten grondslag zal liggen. 

Wat kan er misgaan?

Volgens een rapport van Gartner uit 2020 gaat er in 83% van de datamigraties iets mis of lopen deze vertraging op.[6] Een aantal problemen die zich bij datamigratie kunnen voordoen zijn niet direct relevant voor het onderwerp privacy. Het gaat dan bijvoorbeeld om performance problemen, zoals een vertraagde systeemrespons, gebrek aan gebruikersacceptatie of kostenoverschrijdingen.[7]

Wanneer het om het voldoen aan privacywetgeving en privacy gerelateerde problemen gaat, dan noemen de meeste ICT- bedrijven en bedrijven die op het gebied van datamigratie diensten aanbieden, beveiliging en verlies van vertrouwelijkheid als aandachtspunten. In dit (privacy) kader noemen zij echter vrijwel nooit de risico’s op het vlak van databeschikbaarheid en data-integriteit. En dat is opmerkelijk, omdat dergelijke risico’s de meest voor de hand liggende risico’s in het kader van datamigratie zijn. 

Waar het evident is dat verlies van vertrouwelijkheid tot de conclusie kan leiden dat er sprake is van een meldplichtig datalek, wordt hierna wordt bekeken in hoeverre (data) beschikbaarheids- of integriteitsproblemen in het kader van datamigratie tot dezelfde conclusie kunnen leiden.

Privacyrechtelijke consequenties van problemen bij een datamigratie; datalekmelding?

Beschikbaarheidinbreuken

Het kan gaan om persoonsgegevens die tijdelijk niet aanwezig zijn (b.v. vertraagde overzetting) of blijvend (definitief zoek) verloren zijn gegaan. Ook wanneer persoonsgegevens wel zijn gemigreerd, maar tijdelijk of blijvend niet kunnen worden geraadpleegd (onjuiste of ontbrekende koppeling aan andere gegevens,  tijdelijk resp. permanent onleesbaar, (on)herstelbaar beschadigd) is er sprake van een beschikbaarheidsinbreuk.

Wanneer door de datamigratie het gehele systeem te maken krijgt met een substantiële downtime[8], is er ook sprake van een beschikbaarheidsinbreuk.

Deze gevallen vallen niet te scharen onder de situatie van het niet beschikbaar zijn van persoonsgegevens als gevolg van gepland systeemonderhoud, ten aanzien waarvan de EDPB  in de Richtsnoeren inzake datalekken opmerkt dat er geen sprake is een “inbreuk op de beveiliging” zoals gedefinieerd in artikel 4, lid 12, AVG.[9] In deze situatie wordt het niet beschikbaar zijn van de persoonsgegevens immers beheerst door een gecontroleerd proces waarin de duur van het niet beschikbaar zijn wordt afgestemd op de belangen van en de risico’s voor betrokkenen. 

Integriteitsinbreuken

Hiervan is bijvoorbeeld sprake wanneer aan persoonsgegevens verbonden tijdsnoteringen niet langer de oorspronkelijke datum en tijdstip, maar datum en tijdstip van de migratie aangeven. Indien dat niet hersteld kan worden dan kunnen bijvoorbeeld loggingsdata definitief onbruikbaar worden. Een ander voorbeeld betreft medisch beeldmateriaal zoals een CT-scan, waarbij scan en verslag niet langer aan elkaar gekoppeld zijn. In het laatste geval is er uiteraard ook sprake van een beschikbaarheidsincident.

Meldplichtig datalek

Wanneer deze inbreuken een risico voor de rechten en vrijheden van betrokkenen vormen, dan is er sprake van een meldplichtig datalek. Hierbij maakt het niet uit dat het, gezien het lage uitvalpercentage van 0,23%, verhoudingsgewijs of absoluut om weinig betrokkenen gaat. Het gaat erom dat een inbreuk in verband met persoonsgegevens gemeld moet worden.[10] Alleen de grootte van het risico voor betrokkenen kan van invloed zijn op het al dan niet moeten melden van de inbreuk.[11]

Of er daadwerkelijk sprake is van een risico voor de betrokkenen (zoals dit doorgaans kortheidshalve wordt aangeduid) en dus een meldplichtig datalek, is afhankelijk van diverse factoren zoals zoals de grootte van het belang van de directe beschikbaarheid van of van de juistheid van de persoonsgegevens in het kader van het primaire proces. Een andere belangrijke factor vormt de vraag welke belangen van de betrokkenen op het spel staan. Wanneer bijvoorbeeld in een ziekenhuis bij een datamigratie bepaalde gezondheidsgegevens van patiënten niet in het nieuwe systeem terecht zijn gekomen, dan kan dat direct risico’s voor de gezondheid (sbelangen) van patiënten opleveren. Wanneer hetzelfde zich in een warenhuis met de gegevens van klanten voordoet, dan zal de risico-inschatting voor deze betrokkenen een veel minder verontrustend resultaat opleveren. 

Handelen in strijd met de AVG

Wanneer er zich in het kader van datamigratie een meldplichtig datalek voordoet, dan impliceert dit meestal dat er tevens sprake is van handelen in strijd met diverse verplichtingen uit de AVG. Dit betreft deels verplichtingen die, wanneer ze letterlijk (zie mijn cursiveringen hierna) waren nagekomen, een datalek waarschijnlijk hadden voorkomen.

De eerste betreft de verplichting om maatregelen te treffen waarmee op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten gegarandeerd kunnen worden (artikel 32 lid 1 sub b AVG).  

Ook is er de verplichting om maatregelen te treffen zodat bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kan worden hersteld (artikel 32 lid 1 sub c AVG).

Tenslotte is duidelijk dat in het geval van beschikbaarheids- en integriteitsinbreuken er niet is gehandeld in overeenstemming met de beginselen/ verplichtingen uit artikel 5 AVG op grond waarvan persoonsgegevens toereikend en juist moeten zijn.[12]

Het risico hier is voor de verwerkingsverantwoordelijke. De Autoriteit Persoonsgegevens kan wegens het niet naleven van de verplichtingen van de AVG een boete uitdelen en eenieder, dus niet alleen een betrokkene, kan van de verwerkingsverantwoordelijke vergoeding van de door hen geleden schade als gevolg van het niet naleven vorderen.[13]

Andere juridische consequenties

Ook andere wetten stellen eisen ten aanzien van de aanwezigheid/ beschikbaarheid en juistheid van persoonsgegevens. Zo geldt er bijvoorbeeld op grond van de regeling in het burgerlijk wetboek inzake de geneeskundige behandelingsovereenkomst een dossierplicht voor de zorgverlener.[14] Een vergelijkbare dossierplicht rust op grond van de Jeugdwet op de jeugdhulpverlener.[15] Beide moeten in het dossier die gegevens opnemen die noodzakelijk zijn voor een goede zorg- respectievelijk goede jeugdhulpverlening. Daarnaast geldt ten aanzien van beide dossiers een standaard bewaartermijn van 20 jaar. Het is duidelijk dat beschikbaarheids- en integriteitsinbreuken als gevolg van een datamigratie ervoor zorgen dat aan genoemde verplichtingen niet wordt voldaan. Uiteraard zal dit de zorgverlener of de jeugdhulpverlener niet persoonlijk worden aangerekend, maar de zorginstelling of instelling voor jeugdhulpverlening kan wel door de hierdoor ontstane schade aansprakelijk worden gesteld.[16] Ook kan de IGJ in verband met het niet voldoen aan de dossierplicht boetes opleggen.

En er zijn tal van andere wetten die bewaartermijnen verplicht stellen voor data, waaronder persoonsgegevens. Het gaat hier onder andere om wetgeving op het vlak van het Sociaal Domein, Onderwijs, fiscale wetgeving, en de Archiefwet. Ook hier zorgen beschikbaarheids- en integriteitsinbreuken voor het niet nakomen van wetgeving met als mogelijk gevolg schadeclaims van betrokkenen of het opleggen van boetes door de betreffende bevoegde toezichthouders.

Toekomstige ontwikkelingen

Zoals boven genoemd, vormt het in toenemende mate overstappen van legacy-systemen naar schaalbare (multi)cloud-oplossingen een belangrijke aanleiding voor datamigraties. Mede als gevolg van deze ontwikkeling wordt voor de wereldwijde datamigratiemarkt een groei van 10,55 miljard USD naar 30,7 miljard USD in 2037 verwacht.[17]  

Verwacht wordt dat problemen op het vlak van datamigratie in toenemende mate ondervangen zullen worden door technieken als de inzet van AI en real time en zero downtime migratie, waarbij in bepaalde gevallen data gedurende de datamigratie tijdelijk elders worden ondergebracht en gedupliceerd. Bij de inzet van AI moet bijvoorbeeld gedacht worden aan zelfcorrigerende technieken.[18] Genoemde technieken voegen echter ook bezien vanuit privacy een extra dimensie aan het proces van datamigratie toe. De beantwoording van vragen als ‘voldoet de gegevensverwerking elders wel aan de eisen die gelden met betrekkking tot de technische en organisatorische beveiligingsmaatregelen?’ en ‘wie c.q. wat corrigeert de zelfcorrigerende AI’ moet in het project- c.q. migratieplan een plek krijgen en wel voorgaand aan de datamigratie.

Conclusie en aanbevelingen

De belangrijkste boodschap van dit artikel is dat een uitvalspercentage in het kader van datamigratie dat uit technisch oogpunt een mooi resultaat oplevert, toch de nodige (privacy)juridische consequenties kan hebben, zoals de plicht tot het melden van een datalek, aansprakelijkstellingen en boetes. Om voorbereid te zijn op deze consequenties en om deze wellicht te voorkomen, volgen hierna enkele aanbevelingen:

  1. * Breng voorafgaand aan de datamigratie de mogelijke vertrouwelijkheids-, beschikbaarheids- en integriteitsproblemen/ inbreuken van de betreffende datamigratie in kaart en neem maatregelen zodat deze problemen niet kunnen voorkomen. Dit betreft dus een striktere benadering dan het streven naar een technisch aanvaardbare uitval en vloeit voort uit de verplichting om permanent de beschikbaarheid, integriteit, vertrouwelijkheid en veerkracht te kunnen garanderen. 
  2. * Neem voorafgaand aan de datamigratie ook maatregelen die ervoor zorgen dat wanneer tijdens de migratie of als gevolg van daarvan zich toch een beschikbaarheidsprobleem/ -incident voordoet, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kan worden hersteld.
  3. * Hanteer ook bij het testen en valideren niet technisch acceptabele uitvalpercentages, maar ga uit van een gegarandeerde en permanente beschikbaarheid, integriteit en vertrouwelijkheid als norm. 
  4. * Houdt in de project- en migratieplanning rekening met het feit dat niet alleen bij inbreuken op de vertrouwelijkheid, maar ook bij inbreuken op de beschikbaarheid en integriteit een datalek(meld)procedure zal moeten worden gevolgd. Indien er sprake is van een mogelijk hoog risico voor betrokkenen dan zullen zij van de inbreuk en het risico op de hoogte moeten worden gebracht. 
  5. * Breng bij beschikbaarheids- en integriteitsproblemen degenen die met persoonsgegevens werken en wier  werkzaamheden direct impact op de betrokkenen kunnen hebben, hiervan zo snel mogelijk op de hoogte. Zij kunnen er bij hun werkzaamheden dan rekening mee houden dat de gegevens waarmee zij werken niet betrouwbaar zijn.  Afhankelijk van de mogelijke risico’s voor de betrokkenen kan dit één van de eerste –  zo niet de eerste -mitigerende maatregelen zijn die moet worden getroffen.
  6. * Indien de verwerkingsverantwoordelijke de datamigratie niet zelf uitvoert maar uitbesteedt aan bijvoorbeeld de leverancier van het nieuwe systeem, kom dan in de dienstverleningsovereenkomst niet een technisch aanvaardbare uitvalnorm overeen, maar hanteer een norm conform 1. en 2.[19]

 

1 ‘Systeem’ wordt hierna ook als synoniem voor ‘applicatie’ gebruikt.

2 De term ‘privacy’ wordt in dit artikel gebruikt in de zin van ‘bescherming van persoonsgegevens’ 

3 De ICT-infrastructuur kan zich zowel on premise als in de cloud kan bevinden.

4 Beoogd doel daarvan kan levering of eigendomsoverdracht te zijn, maar dat hoeft niet het geval te zijn, vandaar dat hier niet het woord datalevering wordt gebruikt.

5 https://www.kellton.com/kellton-tech-blog/revealing-top-data-migration-trends

6 https://www.ictportal.nl/ict-lexicon/datamigratie

7 https://www.ictportal.nl/ict-lexicon/datamigratie

8 Vaak zal de downtime substantieel dienen te zijn om van een beschikbaarheidsinbreuk te kunnen spreken, maar in sommige gevallen vormt elke uitval van een systeem, hoe kort dan ook, een beschikbaarheidsinbreuk; denk aan de systemen in een operatiekamer.

9 EDPB, Richtsnoeren 9/2022 betreffende melding van inbreuken in verband met persoonsgegevens uit hoofde van de AVG Versie 2.0 Vastgesteld op 28 maart 2023, p 9.

10 Uit het gebruik van de meervoudsvorm ‘natuurlijke personen; in de in artikel 32 lid 1 AVG geformuleerde uitzondering op de meldplicht dient mijns niet te worden afgeleid de meldplicht pas geldt wanneer meer dan één natuurlijke persoon bij de inbreuk betrokken is. Het accent ligt hier op de ‘rechten en vrijheden’. Ook uit de EDPB-guidelines blijkt op geen enkele wijze dat het om meer dan één betrokkene zou moeten gaan.

11 Artikel 33 lid 1 AVG.

12 Artikel 5 lid 1 sub c en d AVG. Last but not least, op het naleven van deze verplichtingen staat een boete die twee maal zo hoog als dan de boete die op de twee eerstgenoemde verplichtingen staat; zie artikel 84 lid 4 en 5 AVG.

1Respectievelijk artikel 83 en 82 AVG.

14 Artikel 7:454 BW

15 Artikel 7.3.8 Jeugdwet

16 Wegens een toerekenbare tekortkoming in het nakomen van de overeenkomst; artikel 6:74 BW.

17 https://www.marketresearchfuture.com/reports/data-migration-market-29874

18 https://www.kellton.com/kellton-tech-blog/revealing-top-data-migration-trends
19 Wanneer zowel de verwerkingsverantwoordelijke als de leverancier datamigratiewerkzaamheden uitvoeren, is het van groot belang om precies af te spreken wie welke werkzaamheden verricht en wie de handelingen moet verrichten om de data veilig te stellen. Bestaat daar onduidelijkheid over dan kunnen data verloren gaan. In Rb Noord-Holland, 15-2-2023ECLI:NL:RBNHO:2023:2471, werd de eis van de opdrachtgever om schadevergoeding wegens het niet migreren en verloren gaan van data afgewezen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Gerelateerde artikelen

Artikel

AVG spelregels bij de toepassing van sectorale wetgeving

Lees verder
Artikel

Data Awareness: The Essential of Data Security

Lees verder
Artikel

Van theorie naar praktijk: Jong Talent in privacymanagementtraining 

Lees verder