nieuws

AVG: hoe lang en waar bewaar je persoonsgegevens?

Digitaal werken

Een omslag in het denken over privacy, dat is de nieuwe privacywet AVG in een notendop. Die omslag gaat dan niet alleen over het verzamelen en gebruiken van gegevens, maar ook over het bewaren. Hoe lang bewaar je persoonsgegevens, waar bewaar je ze veilig en wat doe je als je ze niet meer nodig hebt? Management Support zocht het uit.

AVG: hoe lang en waar bewaar je persoonsgegevens?

Bewaartermijnen: simpel en complex

In de Algemene Verordening Gegevensbescherming (AVG) zijn geen concrete bewaartermijnen opgenomen voor persoonsgegevens. Een organisatie bepaalt zelf hoe lang persoonsgegevens bewaard worden. Hoe doe je dat? Het is zowel simpel als gecompliceerd.

Stel: je organiseert jaarlijks een evenement waarvoor je namen, telefoonnummers en e-mailadressen van de deelnemers verzamelt. Je bewaart de gegevens natuurlijk tot het evenement. Stuur je na het evenement nog een e-mail met de presentaties van de dag of een evaluatie, dan bewaar je de gegevens tot dat punt. Van de deelnemers die aangegeven hebben ook je e-mailnieuwsbrief te willen ontvangen sla je de gegevens op in het betreffende programma.

Training AVG op het secretariaat

Training AVG op het secretariaat

Tot zover allemaal vrij duidelijk, maar wat doe je hierna met deze gegevens? Bewaar je ze tot volgend jaar, zodat je alle deelnemers kunt benaderen voor de nieuwe editie? Zo ja, welke verwerkingsgrondslag heb je daarvoor?

Dit soort vragen moet jouw bedrijf zich bij iedere verwerking stellen. Als het gaat om stelselmatige verwerking, dan moet het ook in het verwerkingsregister worden vastgelegd. Kom je zelf in een situatie waarbij je deze vragen moet beantwoorden, stap naar de Functionaris voor de Gegevensbescherming (FG) en vraag om advies.

Concrete bewaartermijnen

Alhoewel er in de AVG geen concrete bewaartermijnen staan, zijn die er in veel gevallen wel. Ze zijn in dat geval gebaseerd op een ander wetsartikel of op een onderdeel van het vrijstellingsbesluit van de Wet Bescherming Persoonsgegevens (WBP, voorganger van de AVG).

Een overzicht van documenten met persoonsgegevens waarvoor een concrete termijn wordt gehanteerd in wetten en regelingen:

  • Facturen en financiële administratie, 7 jaar (artikel 52 AWR)
  • Medische behandelgegevens, 15 jaar (artikel 7:454 lid 3 BW)
  • Overheidsarchieven, bewaartermijn varieert (Archiefwet 1995)
  • Loonbelastingverklaringen en kopie paspoort, 5 jaar na uitdiensttreding (artikel 66, lid 4, Uitvoeringsregeling LB)
  • Salarisafspraken en arbeidsvoorwaarden, tot 7 jaar na uitdiensttreding (artikel 52 AWR)
  • Subsidie administraties, 10 jaar (artikel 4:69 AWB)

Daarnaast zijn er ook vanuit het vrijstellingsbesluit bij de WBP kaders voor bewaartermijnen. Belangrijk om te weten dat het vrijstellingsbesluit van de WBP officieel vervallen is na 25 mei. De hierin genoemde richtlijnen zijn dus niet langer wettelijk vastgelegd:

  • Sollicitatiegegevens, tot 4 weken na beëindiging van de procedure, met toestemming tot maximaal 1 jaar
  • Personeelsgegevens, tot 2 jaar na uitdiensttreding, tenzij de wettelijke bewaarplicht langer is
  • Afspraken concurrentiebeding, tot aflopen afspraken
  • Loonbeslag, tot opheffing loonbeslag
  • Beelden beveiligingscamera’s, 4 weken
  • Logfiles internetgebruik en netwerk, 6 maanden
  • Bezoekersregistratie, 6 maanden

Dit is een greep uit de persoonsgegevens waarvoor een concrete termijn is vastgesteld. Word je op je werk geconfronteerd met een verwerking waarvoor een bewaartermijn moet worden vastgesteld, controleer dan altijd eerst of er een wettelijke termijn of algemene richtlijn voor is.

Bepalen van een bewaartermijn?

Wat doe je als er geen wettelijke richtlijn is? Bij de FG aankloppen natuurlijk. De FG is immers verantwoordelijk voor de uitvoering van de AVG binnen jouw bedrijf. Toch is het goed om te weten hoe een bewaartermijn tot stand komt.

Als eerste zijn er drie fases:

  • Gebruiksfase: hierin heb je de gegevens daadwerkelijk nodig. Denk aan het personeelsdossier van een medewerker tijdens het dienstverband.
  • Archieffase: de gegevens zien niet meer actief nodig, maar moeten opgevraagd kunnen worden of zijn onderhevig aan een wettelijke bewaartermijn.
  • Fase waarin gegevens niet meer nodig zijn: in deze fase is er geen noodzaak meer voor het bewaren van de persoonsgegevens. In deze fase moeten de gegevens geanonimiseerd of vernietigd worden.

Het bepalen van een bewaartermijn is altijd een afweging tussen het belang van het bedrijf en het belang van de persoon van wie de persoonsgegevens zijn. Naarmate de mogelijke negatieve gevolgen voor de betrokkene groter wordt, zal de onderbouwing voor het bewaren van de gegevens zwaarder moeten zijn.

Terugkomend op het eerdere voorbeeld van het congres. Het is verdedigbaar om de namen en e-mailadressen te bewaren tot de volgende editie, om de deelnemers opnieuw uit te nodigen. Zeker als ze hier toestemming voor hebben gegeven. Bij het opnemen van de telefoonnummers in je salessysteem om na te bellen voor andere producten begeef je je al in een grijs gebied.

Veel komt neer op gezond verstand. Of, zoals ICT-jurist Arnoud Engelfriet het in een eerder AVG-artikel verwoordde: “Doe normaal, denk na.”

Waar bewaar je gegevens veilig?

Naast een duidelijke bewaartermijn is ook een goede en veilige bewaarplek van groot belang. Sla je gegevens op waar anderen er makkelijk toegang tot hebben, dan is de kans op een datalek veel groter. Kies dus voor veilige opslagplekken, maar wat is veilig?

De Autoriteit Persoonsgegevens stelt twee voorwaarden aan de opslag van gegevens:

  1. Er moet moderne techniek gebruikt worden om persoonsgegevens op te slaan.
  2. Daarnaast moet er gekeken worden hoe een organisatie omgaat met toegang tot persoonsgegevens. Niet meer medewerkers dan strikt noodzakelijk mogen toegang hebben tot persoonsgegevens.

In de basis zijn je eigen harde schijf, een gedeelde netwerkschijf of e-mail niet de beste plaatsen om persoonsgegevens op te slaan. Niet alleen vanwege de beveiliging, maar ook vanuit het oogpunt van verwijdering.

De meeste cloudopslagdiensten (OneDrive, Sharepoint, Google Drive) bieden een uitgebreid scala aan beveiligingsopties. Niet alleen op document- en mapniveau, maar ook bij het inloggen. Een voorbeeld hiervan is tweestapsverificatie. Hierbij heb je niet alleen een login en wachtwoord nodig, maar ook een inlogcode. Deze wordt meestal naar je telefoon verstuurd, zodat er meer zekerheid is dat jij het ook daadwerkelijk bent die inlogt.

Ook voor gegevens die fysiek opgeslagen worden is goede beveiliging een must. Wist je dat een brand waarbij personeelsdossiers, zonder back-up, verloren gaan ook een datalek is? Zorg dus dat persoonsgegevens achter slot en grendel liggen en dat de opslaglocaties beveiligd zijn tegen zaken als brand en wateroverlast.

Gegevens vernietigen of anonimiseren

In de fase waarbij je persoonsgegevens niet meer nodig hebt, zijn er twee opties: anonimiseren of vernietigen.

Wanneer je gegevens wilt bewaren voor statistisch onderzoek, dan kun je deze anonimiseren. Voor een ziekenhuis is het nuttig om te weten hoeveel operaties er in een jaar zijn uitgevoerd en of er complicaties optraden. Dit soort data mag bewaard worden, wel moeten de patiëntgegevens verwijderd worden.

Het is toegestaan om te bewaren dat operatie Y zoveel keer is uitgevoerd en dat complicatie X zo vaak optrad. Zo lang er maar niet meer bijstaat dat dit bij patiënt Z was.

De belangrijkste eis bij het vernietigen van persoonsgegevens is dat dit onder controle van het bedrijf gebeurt. Ook het vernietigen van persoonsgegevens valt namelijk onder de noemer ‘verwerking’. Huur je dus een bedrijf in dat de gegevens vernietigt, dan is er een verwerkersovereenkomst nodig.

Vergeet ook niet om met externe partijen als evenementenbureaus, accountants, salarisadministrateurs en reisbureaus afspraken te maken over het vernietigen van persoonsgegevens.

Uiteindelijk geldt voor het bepalen van bewaartermijnen hetzelfde mantra als voor de rest van de AVG. Maak een duidelijke en goede afweging tussen de belangen van het bedrijf en degene van wie de persoonsgegevens zijn, zorg voor een verwerkingsgrondslag en neem de verwerking op in het register.

Alles over de AVG op Management Support

Meer weten over de AVG? Management Support heeft de antwoorden voor je! Zo helpen we jou om te voldoen aan de AVG-wet. Lees ook de andere artikelen over de AVG:

Meer weten over de AVG?

Reageer op dit artikel