Bewaartermijnen
Regelmatig krijgen wij de vraag hoe lang gegevens bewaard mogen of moeten worden. Helaas is dit niet altijd even gemakkelijk te beantwoorden. Er is namelijk op grond van de Algemene verordening gegevensbescherming (AVG) geen duidelijkheid met betrekking tot bewaartermijnen voor persoonsgegevens. Dit mag je als organisatie zelf bepalen. Een belangrijk criterium hierin is om te kijken hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Dit laat onverlet dat er soms wel voorgeschreven bewaartermijnen zijn die vastliggen in andere wetgeving waar je je als organisatie aan moet houden. Bijvoorbeeld op grond van de Uitvoeringsregeling Loonbelasting; de loonbelastingverklaring en een kopie paspoort van je werknemers moet je bewaren tot 5 jaar na uitdiensttreding, volgens artikel 66, lid 4 van deze regeling. Of de Algemene wet inzake rijksbelastingen waar in artikel 52 staat dat je facturen en je financiële administratie 7 jaar moet bewaren. Dit geldt overigens ook voor salarisafspraken en arbeidsvoorwaarden met je personeel.
Datalek
Het is belangrijk dat organisaties regels stellen met betrekking tot bewaartermijnen, want een ongeluk zit in een klein hoekje. Vooral in deze pandemie waar veel mensen thuis werken en vaak met een privé device wordt gewerkt en documenten op de privé server opslaan en/of in de Cloud. Een organisatie is hier out of control. Zij kan immers niet bij deze gegevens en weet ook niet van het bestaan af. Hierdoor is het risico van het ontstaan van een datalek aanwezig.
Data van sollicitanten
Het komt regelmatig voor dat een wervingstraject wordt gestart. Het CV van de sollicitant samen met de motivatiebrief wordt met meerdere personen binnen een organisatie gedeeld. Gegevensbestanden worden nagenoeg altijd opgeslagen in de Cloud of op een privé server. In de regel mag je deze gegevens 4 weken bewaren, tenzij de sollicitant expliciet toestemming geeft om ze langer te bewaren. Ook hier is het risico van een datalek aanwezig, indien de gegevens langer worden bewaard.
Een recent voorbeeld waar het mis ging
In het vierde kwartaal van 2021 was er een datalek bij het Amsterdamse bedrijf Homerun. Aanvallers kregen toegang tot zo’n 1.500 gegevens van klanten van Homerun. Dit datalek werd veroorzaakt doordat bedrijven zoals Tony’s Chocolonely, Blendle en Amac die gebruik maakten van het platform van Homerun gegevens van sollicitanten jarenlang hadden bewaard.
Aantal datalekken
In het laatste kwartaal van 2021 telde Nederland in totaal 66.527 datalekken die gemeld zijn sinds de invoering van de AVG. Hiermee staat Nederland op de tweede plaats als het gaat om het totaal aantal meldingen van datalekken. Duitsland staat op nummer één met 77.747 gemelde datalekken. We zien hier een heel groot verschil met bijvoorbeeld Griekenland dat op de derde plek staat met 371 gemelde datalekken.
Oorzaken datalekken
Uit onderzoeken van de Autoriteit persoonsgegevens (AP) blijkt dat de oorzaken van datalekken onder meer een gebrek aan transparantie zijn (schenden van de informatieverplichting), het ontbreken van een rechtmatige grondslag voor de verwerking, het ontbreken van afdoende beveiligingsmaatregelen, het niet voldoen aan het beginsel van dataminimalisatie en het overschrijden van bewaartermijnen.
Wat is van belang
Waar moet je op letten wanneer je afspraken maakt over bewaartermijnen. Twee zaken zijn altijd van belang:
- Zijn er wettelijke termijnen waar je je aan moet houden?
- Hoe lang zijn de gegevens nodig voor het doel waarvoor je ze verwerkt?
Het uitgangspunt van de Algemene verordening gegevensbescherming (AVG) is dat je persoonsgegevens zo kort mogelijk bewaart.
Maak afspraken en leg deze vast
Naar aanleiding van bovenstaande vragen zijn er wederom twee belangrijke vragen die je je als organisatie moet stellen:
- Is de bewaartermijn van persoonsgegevens voorbij?
- Zijn de gegevens nog noodzakelijk?
Is het antwoord op de eerste vraag ‘ja’ en de tweede ‘nee’ dan moeten organisaties de gegevens vernietigen.
Bespreek het bewaren van gegevens
Vraag aan de functionarissen om hier bewust mee om te gaan. Ook als ze hun privé device gebruiken, vraag ze dan ook om bijvoorbeeld gegevens van sollicitanten of potentiële collega’s te verwijderen. Stuur bijvoorbeeld in de derde week een reminder om te vragen of ook alle gegevens vernietigd zijn.
Kortom:
- Beperk waar het kan de bewaartermijnen om zo het risico op datalekken zo veel mogelijk te reduceren.
- Wanneer je gegevens opslaat op een privé server of in de Cloud zijn de risico’s minder beheersbaar dan wanneer er in een ‘werk’ omgeving wordt gewerkt.
Leg de bewaartermijnen vast in je register van verwerkingsactiviteiten
Aan de slag met bewaartermijnen
Hoe bepaal je nu hoe lang je persoonsgegevens bewaart en hoe zorg je er voor dat wanneer de bewaartermijn is verstreken deze gegevens ook worden vernietigd?
Voor gegevens zoals een kopie paspoort en dergelijke is duidelijk hoe lang je ze moet bewaren, dit ligt immers vast in de wet. Maar als er geen wetgeving van toepassing is?
Stap 1 | Bepaal je termijn per type persoonsgegeven
Bepaal eerst de categorieën persoonsgegevens en kijk wie de betrokkenen zijn (bijvoorbeeld deelnemers, sollicitanten, bestuurders etc.) Geef aan of er een grondslag van de verwerking aanwezig is (toestemming, wettelijke verplichting etc.).
Stap 2 | Bewaartermijnen vastleggen
Leg vervolgens de bewaartermijnen vast in een overzicht. Dat kan bijvoorbeeld in het register van verwerkingsactiviteiten. De bewaartermijn kun je als organisatie zelf bepalen maar denk eraan: het uitgangspunt van de wet is dat je persoonsgegevens zo kort mogelijk bewaart.
Stap 3 | Vernietigen van persoonsgegevens
Zorg voor een reminder als de bewaartermijn van persoonsgegevens is verstreken. Controleer de bewaartermijnen periodiek en maak een selectie van de persoonsgegevens die je moet vernietigen. Vernietig de persoonsgegevens. Bespreek met de leverancier of de mogelijkheid bestaat dat de systemen en software die gebruikt worden door het fonds, gesystematiseerd gegevens kunnen vernietigen of archiveren.
Stap 4 | Implementatie van software of systemen
Wanneer er nieuwe software of systemen geïmplementeerd worden waarin persoonsgegevens worden verwerkt voer dan een Data Protection Impact Assessment (DPIA) uit. Een DPIA is een risicoanalyse gericht op het voorkomen van privacyschending. Leg direct de bewaartermijn van deze gegevens vast in het register van verwerkingsactiviteiten.