Bewaartermijnen

Neemt u gerust contact met ons op 0682692429

Bewaartermijnen

16 januari 2022 Privacy 0

Regelmatig krijgen wij de vraag hoe lang gegevens bewaard mogen of moeten worden. Helaas is dit niet altijd even gemakkelijk te beantwoorden. Er is namelijk op grond van de Algemene verordening gegevensbescherming (AVG) geen duidelijkheid met betrekking tot bewaartermijnen voor persoonsgegevens. Dit mag je als organisatie zelf bepalen. Een belangrijk criterium hierin is om te kijken hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Dit laat onverlet dat er soms wel voorgeschreven bewaartermijnen zijn die vastliggen in andere wetgeving waar je je als organisatie aan moet houden. Bijvoorbeeld op grond van de Uitvoeringsregeling Loonbelasting; de loonbelastingverklaring en een kopie paspoort van je werknemers moet je bewaren tot 5 jaar na uitdiensttreding, volgens artikel 66, lid 4 van deze regeling. Of de Algemene wet inzake rijksbelastingen waar in artikel 52 staat dat je facturen en je financiële administratie 7 jaar moet bewaren. Dit geldt overigens ook voor salarisafspraken en arbeidsvoorwaarden met je personeel.

Datalek

Het is belangrijk dat organisaties regels stellen met betrekking tot bewaartermijnen, want een ongeluk zit in een klein hoekje. Vooral in deze pandemie waar veel mensen thuis werken en vaak met een privé device wordt gewerkt en documenten op de privé server opslaan en/of in de Cloud. Een organisatie is hier out of control. Zij kan immers niet bij deze gegevens en weet ook niet van het bestaan af. Hierdoor is het risico van het ontstaan van een datalek aanwezig.

Data van sollicitanten

Het komt regelmatig voor dat een wervingstraject wordt gestart. Het CV van de sollicitant samen met de motivatiebrief wordt met meerdere personen binnen een organisatie gedeeld. Gegevensbestanden worden nagenoeg altijd opgeslagen in de Cloud of op een privé server. In de regel mag je deze gegevens 4 weken bewaren, tenzij de sollicitant expliciet toestemming geeft om ze langer te bewaren. Ook hier is het risico van een datalek aanwezig, indien de gegevens langer worden bewaard.

Een recent voorbeeld waar het mis ging

In het vierde kwartaal van 2021 was er een datalek bij het Amsterdamse bedrijf Homerun. Aanvallers kregen toegang tot zo’n 1.500 gegevens van klanten van Homerun. Dit datalek werd veroorzaakt doordat bedrijven zoals Tony’s Chocolonely, Blendle en Amac die gebruik maakten van het platform van Homerun gegevens van sollicitanten jarenlang hadden bewaard.

Aantal datalekken

In het laatste kwartaal van 2021 telde Nederland in totaal 66.527 datalekken die gemeld zijn sinds de invoering van de AVG. Hiermee staat Nederland op de tweede plaats als het gaat om het totaal aantal meldingen van datalekken. Duitsland staat op nummer één met 77.747 gemelde datalekken. We zien hier een heel groot verschil met bijvoorbeeld Griekenland dat op de derde plek staat met 371 gemelde datalekken.

Oorzaken datalekken

Uit onderzoeken van de Autoriteit persoonsgegevens (AP) blijkt dat de oorzaken van datalekken onder meer een gebrek aan transparantie zijn (schenden van de informatieverplichting), het ontbreken van een rechtmatige grondslag voor de verwerking, het ontbreken van afdoende beveiligingsmaatregelen, het niet voldoen aan het beginsel van dataminimalisatie en het overschrijden van bewaartermijnen.

Wat is van belang

Waar moet je op letten wanneer je afspraken maakt over bewaartermijnen. Twee zaken zijn altijd van belang:

  1. Zijn er wettelijke termijnen waar je je aan moet houden?
  2. Hoe lang zijn de gegevens nodig voor het doel waarvoor je ze verwerkt?

Het uitgangspunt van de Algemene verordening gegevensbescherming (AVG) is dat je persoonsgegevens zo kort mogelijk bewaart.

Maak afspraken en leg deze vast

Naar aanleiding van bovenstaande vragen zijn er wederom twee belangrijke vragen die je je als organisatie moet stellen:

  1. Is de bewaartermijn van persoonsgegevens voorbij?
  2. Zijn de gegevens nog noodzakelijk?

Is het antwoord op de eerste vraag ‘ja’ en de tweede ‘nee’ dan moeten organisaties de gegevens vernietigen.

Bespreek het bewaren van gegevens

Vraag aan de functionarissen om hier bewust mee om te gaan. Ook als ze hun privé device gebruiken, vraag ze dan ook om bijvoorbeeld gegevens van sollicitanten of potentiële collega’s te verwijderen. Stuur bijvoorbeeld in de derde week een reminder om te vragen of ook alle gegevens vernietigd zijn.

Kortom:

  • Beperk waar het kan de bewaartermijnen om zo het risico op datalekken zo veel mogelijk te reduceren.
  • Wanneer je gegevens opslaat op een privé server of in de Cloud zijn de risico’s minder beheersbaar dan wanneer er in een ‘werk’ omgeving wordt gewerkt.

Leg de bewaartermijnen vast in je register van verwerkingsactiviteiten

Aan de slag met bewaartermijnen

Hoe bepaal je nu hoe lang je persoonsgegevens bewaart en hoe zorg je er voor dat wanneer de bewaartermijn is verstreken deze gegevens ook worden vernietigd?

Voor gegevens zoals een kopie paspoort en dergelijke is duidelijk hoe lang je ze moet bewaren, dit ligt immers vast in de wet. Maar als er geen wetgeving van toepassing is?

Stap 1 | Bepaal je termijn per type persoonsgegeven

Bepaal eerst de categorieën persoonsgegevens en kijk wie de betrokkenen zijn (bijvoorbeeld deelnemers, sollicitanten, bestuurders etc.) Geef aan of er een grondslag van de verwerking aanwezig is (toestemming, wettelijke verplichting etc.).

Stap 2 | Bewaartermijnen vastleggen

Leg vervolgens de bewaartermijnen vast in een overzicht. Dat kan bijvoorbeeld in het register van verwerkingsactiviteiten.  De bewaartermijn kun je als organisatie zelf bepalen maar denk eraan: het uitgangspunt van de wet is dat je persoonsgegevens zo kort mogelijk bewaart.

Stap 3 | Vernietigen van persoonsgegevens

Zorg voor een reminder als de bewaartermijn van persoonsgegevens is verstreken. Controleer de bewaartermijnen periodiek en maak een selectie van de persoonsgegevens die je moet vernietigen. Vernietig de persoonsgegevens. Bespreek met de leverancier of de mogelijkheid bestaat dat de systemen en software die gebruikt worden door het fonds, gesystematiseerd gegevens kunnen vernietigen of archiveren.

Stap 4 | Implementatie van software of systemen

Wanneer er nieuwe software of systemen geïmplementeerd worden waarin persoonsgegevens worden verwerkt voer dan een Data Protection Impact Assessment (DPIA) uit. Een DPIA is een risicoanalyse gericht op het voorkomen van privacyschending. Leg direct de bewaartermijn van deze gegevens vast in het register van verwerkingsactiviteiten.

Bezoekadres: Wessemerdijk 11 | 6031 SG Nederweert | KvK 83125205

Info@c-i-c.nl (algemeen) edcreusen@c-i-c.nl nataschawesten@c-i-c.nl

Ed Creusen +31(0)6 20493611 Natascha Westen +31 (0)6 82692429 Robbert van Schaik +31 (0)6 46271081

©  2024 . Compliance-i-Consultancy B.V. | Follow us on LinkedIn and Twitter